Orçamento maior e terceirização para driblar a crise de segurança

Uma sensação de falta de confiança e de não estar conseguindo lidar com os atuais riscos cibernéticos está atormentando os líderes de cibersegurança das organizações. Alguns estão dobrando os orçamentos da área e muitos estão investindo em novas infraestruturas e grande parte está terceirizando mais funções do que nunca. 

O Estudo sobre Prioridades de Segurança 2021 do IDG destacou o que os executivos de cibersegurança terão como prioridades para os próximos 12 meses. Em primeiro lugar, querem estar mais bem preparados para reagir a novos incidentes de (48%). Também estão buscando proteger melhor dados críticos e confidenciais (43%) e elevar a conscientização dos usuários finais em relação à cibersegurança através de treinamento (42%).  

A prioridade poderá variar dependendo do porte dos negócios. Por exemplo, para pequenas e médias empresas (PMEs), incrementar a prontidão de segurança terá mais importância (53%), assim como os treinamentos (46%). Já para grandes organizações, a principal prioridade será a atualização dos recursos de TI e de segurança de dados visando aumentar a resiliência corporativa (45% contra 38% para PMEs). 

Essas prioridades fazem sentido porque abordam os principais desafios enfrentados pelos líderes de segurança recentemente e que os fizeram redirecionar recursos de tempo. Esses desafios incluem riscos imprevistos impostos aos negócios (como a pandemia), treinamentos de conscientização e uma nova safra de ameaças externas, como os ataques ransomware, sem falar de regras de governança e conformidade que alteraram requisitos de segurança em muitas regiões (26%). 

Para atender a essas prioridades, os líderes de segurança estão avaliando ferramentas que possam ajudar a mitigar os riscos de segurança. No topo, estão as soluções Zero Trust, que estão sendo atualmente pesquisadas ou testadas por 52% dos entrevistados. Uma parcela de 21% já as utilizam, contra 18% relados no ano passado. Outros 25% dos líderes de segurança dizem que planejam adotar esse tipo de solução nos próximos 12 meses. 

Zero Trust é um conceito que se opõe ao modelo de segurança perimetral (cuja premissa é “confiar e verificar”) e parte da ideia de que as organizações devem eliminar a confiança implícita em qualquer elemento, nó ou serviço e estabelecer processos rigorosos de autenticação e autorização para dar aos usuários apenas o acesso necessário a ativos digitais, de forma a limitar os danos caso ocorram violações. 

Soluções de Orquestração, Automação e Resposta de Segurança (SOAR) também estão ganhando força – 49% dos entrevistados estão pesquisando ou testando essa plataforma que coordena dados produzidos por um amplo conjunto de ferramentas e automatizam análises de segurança.  

Quase metade (49%) das organizações diz que já terceiriza ou vai terceirizar algumas das funções de segurança de TI nos próximos 12 meses. Outros 13% afirmam que já terceirizam ou vão terceirizar todas as funções de segurança no mesmo período. São foco da terceirização serviços de avaliação e auditorias de segurança (38%), seguidos de monitoramento de redes, endpoints e nuvem e análise de segurança (33%). Nos próximo ano, monitoramento e análise de comportamento (29%) e treinamento para conscientização sobre segurança (27%) têm grande chance de subir na lista de funções terceirizadas. 

Ainda assim, 68% das organizações lidam com a maioria das funções de segurança de TI internamente. Não se espera que essa porcentagem mude drasticamente em 2022, no entanto, esse patamar é menor do que o registrado em 2020 (72%).  

Causas da atual insegurança 

A causa de tanta insegurança pode estar no número volumoso de ataques de ransomware e de vulnerabilidades zero-day, associado a preocupações com o trabalho remoto e a crescente integração entre os universos de IT e OT dos últimos tempos. 

O estudo do IDG reportou esse cenário em números. Nove entre 10 líderes de TI e de cibersegurança acreditam que suas organizações está aquém do desejável quando se trata de proteção contra riscos cibernéticos. Como resposta a essas ameaças, eles adotando estratégias de segurança proativas, investindo em hardware e software para proteger dados confidenciais buscando elevar a conscientização dos colaboradores por meio de treinamentos. Em muitos casos, estão terceirizando as ações de segurança – uma em cada cinco organizações (21%) pesquisadas disse que terá as funções de segurança terceirizadas em 2022. 

Essas iniciativas não costumam ser baratas, então a previsão é de que as organizações aumentem os orçamentos de segurança. Pequenas e médias empresas devem dobrar as despesas nos próximos 12 meses, atingindo, em média, US$ 11 milhões. Já nas grandes companhias, o orçamento médio de segurança deve ser de US$ 123 milhões no próximo ano. 

A ideia de fracasso na abordagem dos riscos cibernéticos que atormenta os líderes de segurança tem motivo de ser, principalmente pelas causas serem internas. O estudo do IDG mostrou que 44% dos incidentes de segurança em 2021 envolveram funcionários vítimas de phishing ou que violaram políticas de segurança. No ano anterior, essa parcela era de 36%. Tal crescimento ocorreu a despeito de treinamentos e programas de conscientização dos colaboradores realizados. 

No entanto, funcionários nem sempre são os culpados. Software sem correções e falhas de segurança de terceiros ou fornecedores estão empatados como a segunda principal causa de incidentes de segurança (27%), seguidos por configuração incorreta de serviços ou sistemas on-premise ou remotos (26%).  

Uma em cada cinco empresas pesquisadas sobre com vulnerabilidades zero-day ou violações em suas cadeias de fornecimento de software (21%) nos últimos 12 meses. 

O lado bom nesse cenário é que 70% dos incidentes de segurança foram detectados na primeira semana, de acordo com relato dos entrevistados. Esse percentual varia ligeiramente para baixo no caso de grandes empresas (63%) e para cima no caso de pequenas e médias empresas (80%).