Insights de 2.991 líderes de TI/segurança cibernética em 14 países.
Os profissionais de segurança cibernética são um elemento central das defesas cibernéticas de uma organização. Embora muito tenha sido escrito sobre a escassez de pessoal qualificado em segurança cibernética, muito menos foco tem sido dado à forma de capacitar esses profissionais para causar o maior impacto. Resumindo, qual a melhor forma de prepará-los para o sucesso.
A nossa análise recente visa avançar nesta área de compreensão, explorando a questão: A estrutura organizacional afeta os resultados da segurança cibernética? Esperamos que as descobertas sejam úteis para qualquer pessoa que esteja considerando como estruturar uma função de segurança cibernética para alcançar os melhores resultados. Baixe o relatório.
Abordagem
O nosso ponto de partida foi uma pesquisa independente encomendado pela Sophos sobre as experiências de 3.000 profissionais de TI/segurança cibernética que trabalham em organizações de média dimensão (entre 100 e 5.000 funcionários) em 14 países. A pesquisa foi realizada no primeiro trimestre de 2023 e revelou a realidade do ransomware, do risco cibernético e das operações de segurança para profissionais de segurança que operam na linha de frente. As descobertas formaram a base dos relatórios Sophos State of Ransomware 2023 e State of Cybersecurity 2023.
Esta pesquisa analisou essas experiências de segurança cibernética através das lentes da estrutura organizacional implantada. O objetivo foi identificar se existe alguma relação entre estrutura e resultados e, em caso afirmativo, qual estrutura reportou os melhores resultados.
Os entrevistados da pesquisa selecionaram um dos seguintes modelos que melhor representa a estrutura das funções de segurança cibernética e de TI em sua organização:
- Modelo 1: A equipe de TI e a equipe de segurança cibernética são organizações separadas (n=1.212)
- Modelo 2: Uma equipe dedicada de segurança cibernética faz parte da organização de TI (n=1.529)
- Modelo 3: Não existe uma equipe dedicada de segurança cibernética; em vez disso, a equipe de TI gerencia a segurança cibernética (n=250)
Nove entrevistados não se enquadraram em nenhum desses modelos e por isso foram excluídos da análise. As organizações que terceirizaram totalmente a sua segurança cibernética, por exemplo, para um MSSP, foram excluídas da investigação.
Sumário executivo
A análise revelou que as organizações com uma equipa de cibersegurança dedicada dentro de uma equipe de TI mais ampla reportam os melhores resultados globais de cibersegurança (modelo 2) em relação aos outros dois grupos. Por outro lado, as organizações onde as equipes de TI e de segurança cibernética estão separadas (modelo 1) relataram as experiências gerais mais ruins.
Embora a segurança cibernética e as operações de TI mais amplas sejam especializações separadas, o sucesso relativo do modelo 2 pode dever-se ao facto de as disciplinas também estarem intrinsecamente ligadas: os controles de segurança cibernética têm frequentemente um impacto direto nas soluções de TI ao mesmo tempo que implementam uma boa higiene cibernética, por exemplo, corrigindo e bloqueando RDP, geralmente é executado pela equipe de TI.
O estudo também deixou claro que, se você não tiver habilidades e capacidades essenciais em segurança cibernética, a forma como você estrutura a equipe fará pouca diferença em muitos dos seus resultados de segurança. As organizações que procuram complementar e ampliar as suas capacidades internas com especialistas terceiros em segurança cibernética (por exemplo, fornecedores de MDR ou MSSPs) devem procurar parceiros flexíveis que demonstrem a capacidade de trabalhar como uma extensão da equipa interna mais ampla.
Destaques da análise
A análise compara as experiências relatadas pelos três grupos em diversas áreas, revelando alguns resultados instigantes.
Causa raiz dos ataques de ransomware
Curiosamente, a causa raiz relatada dos ataques de ransomware varia de acordo com a estrutura organizacional:
- Modelo 1: Quase metade dos ataques (47%) começou com uma vulnerabilidade explorada, enquanto 24% resultaram de credenciais comprometidas.
- Modelo 2: Vulnerabilidades exploradas (30%) e credenciais comprometidas (32%) tinham quase a mesma probabilidade de serem a causa raiz do ataque.
- Modelo 3: Quase metade dos ataques (44%) começou com credenciais comprometidas e apenas 16% com uma vulnerabilidade explorada.
Recuperação de ransomware
As organizações do Modelo 1 eram muito mais propensas a pagar o resgate do que os outros grupos e relataram a taxa mais baixa de uso de backup para recuperar dados criptografados. Além de serem o grupo com maior probabilidade de pagar o resgate, as organizações do modelo 1 também relataram pagar resgates muito mais elevados, sendo o seu pagamento médio mais do dobro do dos modelos 2 e 3.
Operações de segurança
A maior conclusão desta área de análise é que, embora as organizações do Modelo 2 se saiam melhor na entrega de operações de segurança, a maioria das organizações considera um desafio entregar operações de segurança eficazes por conta própria. Essencialmente, a forma como você estrutura a equipe faz pouca diferença se você não tiver capacidade e habilidades essenciais.
Gestão diária da segurança cibernética
Há muitos pontos em comum nesta área entre os três grupos e todos enfrentam desafios semelhantes. Mais da metade dos entrevistados em todos os três modelos relatam que as ameaças cibernéticas estão agora muito avançadas para que suas organizações possam lidar sozinhas (60% modelo 1; 51% modelo 2; 54% modelo 3).
Todos os modelos também partilham preocupações semelhantes em relação às ameaças e riscos cibernéticos. A exfiltração de dados e o phishing (incluindo spear phishing) estão entre as três principais preocupações cibernéticas para todos os três grupos, e a configuração incorreta das ferramentas de segurança é o risco percebido mais comum em todos os níveis. Essencialmente, todos têm as mesmas preocupações principais, independentemente da estrutura organizacional.
Nota importante
Embora esta análise forneça informações únicas sobre a correlação entre a estrutura de TI/segurança cibernética e os resultados relatados, ela não explora as razões por trás desses resultados, ou seja, a causalidade. Cada organização é diferente, e a estrutura da função de TI/segurança cibernética é uma das muitas variáveis que podem impactar a propensão para alcançar bons resultados de segurança, incluindo o setor da indústria, o nível de habilidade dos membros da equipe, os níveis de pessoal, a idade da organização e mais. Esses aprendizados devem ser usados juntamente com outras considerações para identificar a melhor abordagem para uma organização individual.
Saber mais
Para saber mais e ver a análise completa, baixe o relatório.
Como afirmado, esta análise centra-se na correlação e não na causalidade, sendo necessária mais investigação para compreender as razões por detrás destes resultados. Perante os desafios atuais de cibersegurança, qualquer ganho para os defensores é importante e esperamos que esta análise estimule mais estudos sobre como as organizações podem alavancar a sua estrutura interna para ajudar a otimizar as suas defesas.
