Ir para o conteúdo principal
Segurança e resiliência

Resultados da pesquisa: O que os tomadores de decisão de TI dizem sobre o estado do risco de TI

artigo 2 de out de 2023 Tempo de leitura: minutos
O risco de TI tornou-se uma discussão a nível de diretoria.

Em um mundo em que as organizações dependem de sistemas de TI híbridos, complexos e geograficamente dispersos, uma queda de rede, um ataque de malware ou outra interrupção do sistema pode ter efeitos devastadores sobre a produtividade, a reputação e os resultados financeiros de uma marca.

Portanto, os conselhos de administração de muitas empresas estão pressionando suas equipes executivas para obter detalhes sobre a preparação para um incidente desse tipo.

Considerando os altos riscos, procuramos avaliar as percepções do risco de TI e o que as organizações estão fazendo para possibilitar a resiliência cibernética. Fizemos uma pesquisa com um painel mundial de tomadores de decisões de TI e profissionais de risco e conformidade para saber mais sobre as adversidades que sofreram, os riscos de TI que mais os preocupam e o que suas organizações fazem para prever, proteger, resistir e se recuperar dos riscos.

Os resultados dessa pesquisa compõem o relatório sobre o estado dos riscos de TI de 2023.

Nossos resultados confirmam que os sistemas de TI das organizações estão, de fato, sofrendo disrupções. Aprendemos o que mais frequentemente atrapalha os esforços para minimizar as disrupções. Também descobrimos e ficamos surpresos com os altos níveis de confiança dos líderes de TI na capacidade de suas organizações de gerenciar e se recuperar de disrupções de TI.

Convidamos você a considerar os resultados como referência para sua própria estratégia de mitigação de riscos de TI. Além dos resultados da pesquisa, oferecemos nove etapas para traçar um caminho rumo à resiliência cibernética.

No The Progress Report, também discuti as descobertas com Ricardo Morales, CISO do Banorte, um dos maiores bancos comerciais do México.

As organizações dependem da TI para operar processos de negócios críticos.

Para ancorar a discussão sobre o risco de TI, pedimos aos entrevistados que sugerissem a extensão da dependência de seus negócios diários em relação à TI.

84% concordaram ou concordaram totalmente que sua organização depende muito dos ativos de TI para operar processos de negócios críticos.

O resultado não é surpreendente, considerando os comentários generalizados e diários sobre a transformação digital.

Mais surpreendente pode ser o fato de a resposta não ter sido ainda mais enfática.


P: Até que ponto você concorda ou discorda: "Minha organização depende muito de ativos de TI para operar processos comerciais essenciais."
 

A maioria das organizações já sofreu disrupções em seus sistemas de TI.

Não apenas validamos a importância dos sistemas de TI, mas também o fato de que as disrupções fazem parte dessa realidade. 92% dos entrevistados disseram que a sua organização sofreu um evento adverso nos últimos dois anos que comprometeu ou interrompeu os sistemas de TI. Sim, estar no mercado é assumir riscos de TI.

A maioria dos entrevistados disse ter experimentado três ou quatro tipos diferentes de eventos de interrupção. Embora os ataques cibernéticos tendam a ganhar as manchetes, os resultados refletem que é necessária uma abertura muito mais ampla ao discutir e abordar os riscos de TI.

A maioria dos entrevistados disse ter experimentado três ou quatro tipos diferentes de eventos de interrupção.

Enquanto 71% dos entrevistados afirmaram ter vivenciado um evento relacionado à segurança cibernética, 88% relataram ter vivenciado um evento adverso não relacionado à segurança cibernética (esses agrupamentos não são nem um nem outro).–  De fato, três dos cinco principais eventos adversos experimentados não estavam relacionados à segurança cibernética:

  • Falha de hardware de TI
  • Falha de rede de TI
  • Indisponibilidade do data center

Notavelmente, o erro humano também continua a ser uma fonte importante de disrupções e ocupa o sexto lugar entre as 13 disrupções específicas sobre as quais perguntamos, estando consistentemente entre as três principais para os entrevistados do setor de serviços financeiros.


P: Nos últimos 24 meses, algum dos seguintes eventos adversos comprometeu ou interrompeu seus sistemas/dados de TI?

As disrupções no sistema de TI prejudicaram marcas, causaram multas e muito mais.

Com base no fato de que a TI é essencial para as operações diárias, os entrevistados classificaram as disrupções operacionais como o impacto mais comum sofrido como consequência de eventos adversos de TI.

A conformidade ou outras multas ou ramificações legais ou regulamentares foi o segundo impacto mais sentido. Isso foi particularmente verdadeiro para os entrevistados dos setores de serviços financeiros, governo e mídia.

Não apenas as disrupções operacionais e a categoria de conformidade foram as mais experimentadas, como também as classificaram como as duas categorias de impacto mais preocupantes caso os ativos de TI se tornassem indisponíveis ou comprometidos no futuro. A negação sobre disrupções de serviço e vazamentos de dados, por exemplo, podem acarretar multas pesadas.

35% dos entrevistados disseram que a reputação da marca de sua organização foi prejudicada como consequência das disrupções de TI. Esse resultado foi particularmente verdadeiro entre os entrevistados de organizações de mídia, em que 63% deles observaram esse impacto. O ciclo de notícias sempre ativo e a atividade dos clientes nas mídias sociais tornam qualquer evento adverso mais visível do que nunca.


P: Quais dos seguintes impactos, se houver algum, sua organização sofreu com eventos adversos [nos últimos 24 meses]?

Então, o que impede os tomadores de decisão de TI de se anteciparem aos riscos de TI?

Previmos que a escassez global de habilidades de TI ocuparia um lugar de destaque entre os fatores atenuantes, mas ela não chegou a ocupar o topo da lista. A falta de capacidade de recuperar sistemas e dados a partir de um backup limpo e criptografado foi o principal desafio enfrentado pelos entrevistados em relação ao gerenciamento do impacto de eventos adversos. Também vemos isso com frequência entre as organizações que nos perguntam sobre os nossos serviços. Nós os incentivamos a:

  • Investir na automação e orquestração dos processos de recuperação
  • Avaliar e estabelecer a melhor maneira de reduzir o erro humano durante a restauração de backups
  • Testar os planos de resposta a incidentes repetidamente e com frequência

Os três principais desafios dos entrevistados para mitigar os riscos foram a expansão da presença de TI e a capacidade de se manter atualizado com as ameaças emergentes. A falta de equipe qualificada de TI ficou em quarto lugar.


P: Quais são os três principais desafios que você enfrenta no gerenciamento do impacto dos eventos adversos?

Analisando os próximos 12 meses, os eventos de malware são vistos como o maior risco de TI em termos de probabilidade e impacto mais negativo.

Pedimos aos entrevistados que nos indicassem os eventos adversos que eles mais preveem para os próximos 12 meses, bem como o nível de impacto que esses eventos teriam em suas organizações caso ocorressem.

O erro humano foi considerado o mais provável de ocorrer, mas o impacto esperado é menor do que a maioria dos outros eventos. O malware, por outro lado, destacou-se como o risco de TI mais esperado e mais ameaçador.

Dado o aumento do malware, especialmente do ransomware, o resultado não é surpreendente. Em vista dos desafios mencionados anteriormente na recuperação de dados de backups criptografados e limpos, isso também sugere um motivo de atenção redobrada. Independentemente de sua organização ter ou não problemas com backups, um fator complicador é que os ataques de ransomware visam cada vez mais os backups. Nesses cenários, quando os backups são comprometidos, as organizações não só não podem restaurar os sistemas, como também não podem verificar se há malware. Como resultado, o risco e os possíveis impactos aumentam muito.

Outro risco altamente antecipado e potencialmente de grande impacto é o acesso não autorizado, que também é percebido como tendo consequências negativas significativas. Os princípios de confiança zero desempenharão um papel cada vez mais importante no gerenciamento do acesso não autorizado. Esses princípios exigem que as organizações identifiquem seus ativos de alto valor, determinem o acesso privilegiado e utilizem tecnologias, como a autenticação multifatorial, para validação.



Apesar dos riscos percebidos, os tomadores de decisão de TI continuam confiantes.

No início deste relatório, mencionamos a surpresa com a confiança dos tomadores de decisões de TI, considerando os eventos globais e os desafios observados. De fato, 88% dos entrevistados concordaram que sua organização está bem preparada para gerenciar e se recuperar de quaisquer condições adversas, ataques ou comprometimentos que afetem os ativos de TI de sua organização.

Quando solicitados a se comparar com seus pares, 65% classificam a preparação de sua organização para eventos adversos como superior à de outras organizações. Apenas 8% se consideram pelo menos um pouco atrás dos outros. O alto nível de confiança chama a nossa atenção, especialmente em função dos 92% mencionados anteriormente, que também confirmaram que suas organizações sofreram eventos adversos. A dualidade é no mínimo curiosa, se não for motivo para questionar se tal confiança é justificada.


P: Até que ponto você concorda ou discorda: Minha organização está bem preparada para gerenciar e se recuperar de quaisquer condições adversas, ataques ou comprometimentos que afetem os ativos de TI da minha organização.

9 etapas para os líderes de TI traçarem um caminho rumo à resiliência cibernética

Realizamos esse estudo para avaliar como os tomadores de decisão de TI percebem o estado atual do risco de TI e quais ações suas organizações tomam para mitigar esses riscos com base nos quatro pilares da resiliência cibernética.

Antecipar: Ações para avaliar e entender a postura sobre os riscos de TI para melhor mitigar possíveis ameaças e administrar possíveis regulamentações.

Proteger: Ações para reforçar as defesas dos ativos de TI a fim de garantir que eles permaneçam protegidos contra eventos adversos.

Resistir: Ações para lidar com disrupções e reduzir o impacto.

Recuperar: Ações que ajudam a reduzir o impacto após qualquer interrupção e a recuperar rapidamente os ambientes críticos de TI.

Os entrevistados classificaram consistentemente suas organizações como tendo um bom desempenho justificando assim, as altas pontuações de confiança. Em média, em todas as atividades, 75% dos entrevistados consideraram seu desempenho de muito bom a excelente. Uma nuance que descobrimos foi que os entrevistados que relataram uma forte adesão dos executivos aos investimentos em segurança, estavam mais propensos a dar a si mesmos notas máximas para as atividades relacionadas à resiliência cibernética.

Para ajudá-lo a obter essa adesão igualmente, oferecemos nove etapas fundamentais para traçar um caminho rumo à resiliência cibernética.

  1. Envolva a empresa desde o início. Com muita frequência, as organizações de TI operam em um silo, separadas de outras partes da empresa. O caminho mais seguro para o sucesso de uma estratégia de resiliência cibernética é romper o silo. Convide pessoas de fora da TI a participar e ancore as conversas sobre resiliência cibernética na missão da organização. Torne-a parte da cultura organizacional.
  2. Alinhe-se com a tolerância ao risco. O nível de tolerância ao risco geralmente é ditado pelo setor. Por exemplo, o nível de tolerância de uma instituição financeira altamente regulamentada provavelmente seria muito baixo. Seja qual for o nível, defina a tolerância a riscos da sua organização e comunique-a às suas equipes.
  3. Estabeleça sua empresa mínima viável. Uma empresa mínima viável representa as partes da organização que são essenciais para sustentar as operações e atingir os objetivos do negócio. Sua estratégia de resiliência cibernética não só deve identificar as peças críticas, mas também as tolerâncias de impacto para a rapidez com que os dados subjacentes a esses sistemas precisam voltar a ficar on-line.
  4. Faça um inventário. Conforme demonstrado nos resultados da pesquisa, muitas organizações são desafiadas por uma área de TI em constante expansão. Identifique e mapeie os ativos de TI que são essenciais para a sua empresa mínima viável. Esses ativos terão prioridade máxima para serem protegidos e, na pior das hipóteses, recuperados após um evento adverso.
  5. Mude para uma estrutura de confiança zero. Recomendamos o padrão de negação por padrão para garantir que somente aqueles que precisam acessar os sistemas possam fazê-lo, enquanto aqueles que não precisam não o façam.
  6. Estabeleça um plano de gerenciamento de crises. Às vezes, eventos adversos são inevitáveis. (Caso em questão: erro humano como a causa mais esperada de disrupções). A definição de funções e responsabilidades entre as equipes, o estabelecimento de um processo de comunicação, a documentação dos processos e o aumento da transparência geralmente ajudam a reduzir o impacto de um evento adverso.
  7. Pratique para uma disrupção. Com muita frequência, os planos são criados, mas depois arquivados e raramente colocados em prática. Quando ocorre um evento adverso, um plano não testado gera confusão e tempo de resposta lento, tornando o impacto mais grave.  
  8. Modernize continuamente sua estratégia de resiliência cibernética. As organizações são entidades vivas. Os objetivos de negócios mudam, as propriedades de TI se tornam mais complexas e forças externas (regulamentações, por exemplo) podem exigir mudanças. Para garantir que a sua estratégia de resiliência cibernética seja eficaz, essas etapas devem fazer parte de uma discussão contínua.
  9. Conscientize a diretoria sobre o assunto. Terminamos este relatório de pesquisa onde começamos, chamando a atenção para o fato de que a resiliência cibernética se tornou um tópico de discussões em nível de diretoria em todo o mundo.

Manter a diretoria informada sobre os riscos de TI e os planos para mitigar esses riscos pode ajudar a impulsionar o alinhamento organizacional de cima para baixo, além de fornecer cobertura aérea para as mudanças necessárias para garantir que os sistemas habilitados para cibernética possam permanecer operacionais durante eventos adversos.

Perspectivas sobre resiliência e modernização de TI
Como obtivemos os dados

Contratamos uma empresa de pesquisa terceirizada para realizar uma pesquisa on-line com 300 tomadores de decisões de TI de grandes empresas (mais de 1.000 funcionários). As respostas foram coletadas de março a abril de 2023.

Locais dos entrevistados:
  • 65% América do Norte
  • 19% Reino Unido
  • 16% Índia
Detalhamento do setor:
  • 18% Serviços financeiros
  • 17% Governo
  • 17% Manufatura
  • 14% Telecomunicações
  • 14% Mídia
  • 20% Outros

Kris Lovejoy é o líder global de práticas de segurança e resiliência da Kyndryl.