Em julho de 2021 o Ponemon Institute realizou uma pesquisa com 3.600 profissionais de segurança de organizações localizadas em vários países, inclusive do Brasil, com o objetivo de rastrear a capacidade das empresas para alcançar uma postura robusta de segurança e resiliência cibernética. No contexto da pesquisa, uma empresa resiliente é aquela que pode prevenir, detectar, controlar e se recuperar de uma série de ameaças graves contra seus dados, aplicativos e infraestrutura de TI.
O estudo avalia as abordagens adotadas pelas organizações para melhorar sua resiliência cibernética, e reforça a importância de uma postura de segurança adequada para evitar a interrupção dos negócios, em face do crescente volume e complexidade dos ataques cibernéticos.
Neste artigo, vamos comentar as principais revelações desse estudo e as recomendações feitas para melhorar a resiliência cibernética das organizações.
Maiores destaques do estudo
51% dos entrevistados relataram ter enfrentado uma violação de dados em sua organização envolvendo a perda ou roubo de mais de 1.000 registros contendo informações pessoais de clientes, informações comerciais sensíveis ou confidenciais nos últimos 12 meses.
Quando se trata de ransomware, uma elevada parcela das organizações (61%) entrevistadas informou ter sofrido um ataque nos últimos dois anos e pagaram o resgate.
Apesar das leis sobre proteção de dados vigentes em vários países, 74% dos entrevistados declararam que suas organizações não têm um plano de resposta a incidentes e remediação, aplicado de forma consistente em toda a empresa.
Violações de dados como ransomware podem ser catastróficas para algumas empresas. No Brasil o custo médio de uma violação de dados bem-sucedida é estimado em US$1.08 milhão. Não apenas as organizações afetadas perdem receita com o tempo de inatividade que ocorre durante o incidente, mas também os custos pós-violação podem ser significativos, com multas regulatórias, danos na imagem e perda de clientes.
A detecção e resposta estendidas (Extended Detection and Response, XDR) é uma abordagem que pode ser alcançada com a adoção de uma solução XDR que consiga integrar várias ferramentas de segurança distintas, reduzindo a complexidade que dificulta a rapidez da detecção e da resposta a um ataque.
Uma abordagem de confiança zero (Zero Trust) visa envolver de forma contínua a segurança em torno de cada usuário, cada dispositivo, cada conexão. Com o aumento dos aplicativos implantados em nuvens múltiplas e a crescente força do trabalho móvel, o perímetro da rede praticamente desapareceu. Zero Trust elimina a ideia de uma rede confiável dentro de um perímetro definido e adiciona segurança baseada em contexto, isolando ameaças, protegendo seus dados mais valiosos e garantindo a segurança em todos os ambientes em que sua empresa atua.
As ameaças continuam crescendo em volume e amplitude dos ataques
Nos 12 meses anteriores à pesquisa, 46% das empresas sofreram pelo menos um ataque de ransomware, causados por phishing ou engenharia social em 45% dos eventos, sites inseguros ou falsos em 22%, mídia social em 19% e malvertisements em 13% dos casos, que resultaram em:
• Vazamento de ativos de informação de alto valor;
• Diminuição na produtividade de colaboradores;
• Inatividade do data center;
• Dano à infraestrutura de TI;
• Tempo para identificar o incidente;
• Tempo para controlar o incidente;
• Custo de consultores e advogados;
• Perda de reputação e confiança;
• Disrupção na cadeia de fornecimento;
• Multas regulatórias.
Os valores de resgate exigidos pelos criminosos nos ataques de ransomware variaram de US$ 50 mil a mais de US$ 50 milhões. Entre os profissionais pesquisados 61% confirmaram que sua empresa pagou o resgate.
As principais razões pelas quais as organizações que foram infectadas por um ransomware não pagaram o resgate foram:
• Dispor de um backup completo de seus dados;
• Ter uma política de não pagar resgates;
• Não acreditar que os criminosos forneceriam o código para decifrar;
• Os dados comprometidos não eram críticos para a organização;
• Autoridades policiais orientaram a não efetuar o pagamento.
Os principais tipos de ataque variaram de Distributed Denial of Service (DDoS), malware, phishing, agente interno, e-mail corporativo, disaster recovery, ataque à cadeia de suprimentos e ameaças persistentes avançadas.
Nível de maturidade em segurança cibernética
Uma das razões para a vulnerabilidade a ataques é o baixo nível de maturidade em segurança cibernética de muitas organizações. Do total das organizações entrevistadas, somente 26% têm um plano de resposta a incidentes de segurança cibernética aplicado de forma consistente em toda a empresa, um número muito baixo e que tem permanecido constante ao logo dos anos.
Apenas 21% das organizações relataram que estão maduras do ponto de vista da segurança cibernética, o que significa que todas as atividades de segurança de resiliência cibernética planejadas e definidas foram implantadas, mantidas e atualizadas em toda a organização.
As empresas mais bem preparadas identificaram os seguintes investimentos mais importantes realizados:
• 65% relataram maior capacidade de visibilidade em aplicativos e ativos de dados;
• 62% relataram o uso de automação, IA e aprendizado de máquina;
• 45% relataram migração segura para a nuvem;
• 39% relataram avaliação oportuna de vulnerabilidades e aplicação de patches.
Percepção sobre o nível de maturidade
Embora os níveis de maturidade pareçam estagnados, a maioria dos entrevistados acredita que a resiliência cibernética de suas organizações melhorou significativamente (24%), melhorou (27%) ou melhorou um pouco (23%) nos últimos dois anos.
Por outro lado, as respostas mais frequentes para explicar por que a resiliência cibernética não melhorou foram a incapacidade de reduzir os problemas de silos e divergências internas (69%), TI fragmentada e infraestrutura de segurança (65%), falta de visibilidade em aplicativos e dados ativos (60%) e atraso na correção de vulnerabilidades (59%).
Um dado interessante foi o reconhecimento das dificuldades causadas pelo uso de várias ferramentas de segurança. 29% dos entrevistados disseram que suas organizações implantam mais de 50 ferramentas e tecnologias de segurança distintas e 7% das organizações têm mais de 100 ferramentas e tecnologias diferentes!
É preciso considerar as boas práticas
Estratégia Zero Trust, detecção e resposta estendidas (XDR), segurança de nuvem, IA e automação foram as abordagens mais citadas para fazer uma diferença substancial para a resiliência cibernética das empresas.
Planos específicos de resposta a incidentes adaptados aos tipos de ataque, a atualização regular e a revisão dos planos de resposta a incidentes também foram fatores que ajudaram os entrevistados a melhorar a resiliência cibernética de suas organizações.
As organizações que ainda não incorporaram essas práticas recomendadas podem se perguntar sobre as etapas para sua adoção.
Etapas para a adoção de uma resiliência cibernética robusta
O estudo sugere que as organizações elaborem uma matriz que defina o seu nível individual de maturidade e os casos de uso prioritários para seus negócios. É preciso alinhar os riscos às ofertas específicas mencionadas como práticas recomendadas: XDR, segurança em nuvem, Zero Trust, IA e automação e o plano de resposta a incidentes.
Com essa matriz em mãos, os profissionais de segurança podem então priorizar quais abordagens implementar e qual a ordem de prioridade para atender às necessidades de sua organização.
Os principais pontos de atenção recomendados pelo estudo são:
• Crie e teste planos de resposta a incidentes;
• Proteja seus bancos de dados críticos;
• Mantenha os sistemas funcionando com proteção avançada contra ameaças cibernéticas;
• Acelere a análise de dados com IA e inteligência de ameaças, para facilitar o trabalho dos analistas;
• Quebre silos e aumente a visibilidade; e
• Implemente uma estratégia de gerenciamento de patches.
Veja também o artigo “IBM FLASHSYSTEM: MAXIMIZE A EFICIÊNCIA DE SUA INFRAESTRUTURA DE ARMAZENAMENTO DE DADOS” aqui em nosso blog.
Veja o artigo