State of Cybersecurity Resilience 2021
O estudo “State of Cybersecurity Resilience 2021” inquiriu 4744 executivos em Março e Abril de 2021 para compreender até que ponto as organizações dão prioridade à segurança, se os planos de segurança são eficientes e como os seus investimentos em segurança funcionam. Os executivos representam organizações com receitas anuais de mil milhões de euros ou mais de 18 países e 23 sectores na América do Norte e do Sul, Europa e Ásia-Pacífico.
PROMOVER A CIBERSEGURANÇA
O inquérito anual da Accenture a 4744 inquiridos globais sobre o estado actual da resiliência da cibersegurança, mostrou que muitos CISO sentem que o reconhecimento do seu papel no cumprimento da estratégia empresarial está bastante atrasado – 85% concordam ou concordam fortemente que a estratégia de cibersegurança é desenvolvida tendo em mente objectivos empresariais, como o crescimento ou a quota de mercado.
No entanto, a maioria dos executivos empresariais (78%) disseram que não sabem como ou quando um incidente de cibersegurança irá afectar as suas organizações. É um sentimento que continua a aumentar em relação ao relatório da Accenture de 2020, quando já era elevado nos 69%.
A maioria dos inquiridos (81%) afirma que “manter-se à frente dos criminosos é uma batalha constante e o custo é insustentável” em comparação com 69% em 2020. De facto, o estudo descobriu que os inquiridos registaram um aumento de 32% em relação a 2020 no número de ciberataques bem-sucedidos, enquanto alguns ataques, como os de ransomware, registaram um aumento muito maior.
Este ano, a Accenture continuou a análise aos líderes em resiliência cibernética. Devido ao rápido aumento dos ataques de grande visibilidade, assim como à enorme complexidade das exigências de cibersegurança, também se testou o efeito que teria um alinhamento mais forte entre as práticas de cibersegurança e a estratégia empresarial na ciber-resiliência.
A investigação identificou quatro níveis de ciber-resiliência (Figura 1). À frente está um grupo de Cyber Champions – organizações que conseguem um equilíbrio, não só destacando-se na ciber-resiliência, mas também alinhando-a com a estratégia empresarial para alcançar melhores resultados comerciais. São bem-sucedidas em pelo menos três dos quatro critérios de desempenho de resiliência cibernética – melhor a deter ataques, a encontrar e reparar falhas mais rapidamente e a reduzir o seu impacto.
Foram identificadas também dois novos grupos que reflectem diferentes abordagens à ciber-resiliência: os Business Blockers, que colocam a cibersegurança em primeiro lugar em relação ao alinhamento com a estratégia empresarial, e os Cyber Risk Takers, que colocam a estratégia empresarial em primeiro lugar em relação ao alinhamento com a cibersegurança. O quarto nível de ciber-resiliência foi identificado como sendo The Vulnerable.
A localização de uma organização neste quadrante cibernético é importante – há dinheiro em jogo. Os Business Blockers reduziriam o seu custo com ataques em 48%, os Cyber Risk Takers em 65% e os The Vulnerable em 71% se aumentassem o seu desempenho para o nível dos Cyber Champion.
ONDE ESTAMOS AGORA?
- Os ataques cibernéticos estão em alta
Nem uma pandemia global pára os criminosos cibernéticos – na verdade, a vulnerabilidade e a incerteza foram terreno fértil para novos ataques. Houve em média 270 ataques (acesso não autorizado a dados, aplicações, serviços, redes, ou dispositivos) por empresa ao longo do ano, um aumento de 31% em relação a 2020 (Figura 2).
O risco de terceiros continua a dominar. Os ataques indirectos – ou seja, ataques bem-sucedidos à organização através da cadeia de fornecimento – aumentaram de 44% para 61%.
E o impacto da cibersegurança teve um duro efeito na sala de reuniões; numa análise a relatórios de lucros de mais de 500 empresas em 2020, há um aumento de discussões legais (23%), económicas (16%) e internas (10%) sobre as consequências da cibersegurança em comparação com 2019, sugerindo um aumento na priorização do assunto.
- O investimento em segurança continua a aumentar
Os orçamentos de segurança informática têm vindo a aumentar, com mais de 82% dos inquiridos a afirmar que os seus orçamentos aumentaram no último ano (Figura 3). Os orçamentos de segurança informática perfazem agora até 15% do total das despesas com TI, cinco pontos percentuais acima dos gastos reportados em 2020.
Este pode ser o evento de mudança da COVID-19 – a mudança maciça e rápida na forma como gerem os seus negócios e o aumento das exigências de segurança; só no próximo ano saberemos se este tipo de investimento irá continuar, mas sabemos que os orçamentos estão sempre sob escrutínio. A rápida adopção da cloud também pode contribuir para este aumento de investimento, uma vez que muitas ferramentas de segurança têm de ser actualizadas para acomodar a cloud, ou é necessária uma segurança mais robusta num mundo digital.
Talvez este aumento das despesas tenha encorajado o optimismo. Em média, 70% acreditam que a sua organização está activamente protegida pelo seu programa de cibersegurança, em comparação com 60% em 2020. Embora também estejam mais confiantes quanto ao quadro mais amplo, 67% acreditam que os seus ecossistemas estão seguros, em comparação com 60% em 2020.
- A cloud ainda tem uma relação complexa com a segurança
Durante os próximos três a cinco anos, mais de dois terços das cargas de trabalho irão deslocar-se para a cloud, com cerca de um terço das organizações a deslocarem mais de 75% do seu trabalho para a cloud na maioria das regiões do mundo.
Isto reflecte-se na recente investigação da Accenture sobre estratégias de inovação tecnológica, que constatou que o top 10% dos inquiridos duplicaram o investimento em tecnologia durante a pandemia – 72% aceleraram o investimento em segurança.
Os inquiridos no estudo de ciber-resiliência deslocaram as suas operações para a cloud porque reconhecem os seus benefícios, tais como custos mais baixos, operações mais resilientes e acesso a tecnologia mais avançada.
No entanto, apesar de a maioria dos inquiridos acreditar que as aplicações e operações na cloud são mais seguras do que as que estão alojadas localmente, quase um terço (32%) afirma que a segurança não faz parte da discussão sobre a cloud desde o início e a sua organização está a tentar recuperar o atraso (Figura 4).
E as razões que impedem a aceitação da cloud giram em torno de questões de segurança: cerca de um terço de todos os inquiridos afirma que a má gestão e as práticas de conformidade em torno da segurança na cloud são um problema, que a segurança na cloud é demasiado complexa, e que não têm as competências internas para criar uma estrutura de segurança adequada na cloud.
PORQUE O ALINHAMENTO É IMPORTANTE
A investigação deste ano continuou a explorar a maneira como as organizações vencedoras enfrentam a resiliência cibernética, avaliando as suas respostas com base nas seguintes medidas principais de resiliência cibernética: impedem mais ataques, encontram e corrigem as falhas mais rapidamente e reduzem o impacto das falhas.
O estudo da Accenture analisou também o impacto na ciber-resiliência do seu alinhamento com a estratégia empresarial e identificou quatro níveis de ciber-resiliência: Cyber Champions, Business Blockers, Cyber Risk Takers e The Vulnerable (Figura 5).
As diferenças nas posições do quadrante cibernético e as implicações para o desempenho do negócio e a ciber-resiliência serão analisadas na próxima secção.
- Business Blockers
Os Business Blockers colocam a segurança em primeiro lugar e dão menos ênfase ao alinhamento com a estratégia empresarial. São muitas vezes vistos como um impedimento aos objectivos empresariais.
Superam os Cyber Risk Takers e os The Vulnerable, mas ficam atrás dos Cyber Champions em todas as medidas cibernética. Assim como é ilustrado na Figura 6, experienciam menos falhas do que os Cyber Risk Takers e os The Vulnerable, mas ficam oito pontos percentuais acima dos Cyber Champions (17%).
Quando se trata da percentagem média de ataques significativos – com impacto de alto perfil, severo e a longo prazo nos negócios ou na missão da organização – experienciam menos do que os Cyber Risk Takers ou The Vulnerable, mas quase duas vezes mais do que os Cyber Champions.
E quando os ataques acontecem, os Business Blockers detectam e corrigem-nos mais rapidamente do que os Cyber Risk Takers e The Vulnerable, mas atrasam-se um dia em relação aos Cyber Champions em ambas as medidas.
Os Business Blockers têm também a maior percentagem importantes de resiliência de CISO com autoridade total para aprovar orçamentos (32%) versus os Cyber Champions (21%), os Cyber Risk Takers (21%) e The Vulnerable (16%). Esta autonomia de investimento liderada pelos CISO pode explicar o maior enfoque na cibersegurança em relação à estratégia empresarial.
Se os Business Blockers adicionarem o alinhamento à sua já robusta base de cibersegurança, terão ainda mais resiliência cibernética, sem sacrificar os resultados comerciais. Os Business Blockers podem reduzir os custos em 48% por cada ataque que seja bem-sucedido se aumentarem o seu desempenho para os níveis dos Cyber Champion, com poupanças de cerca de 260 mil euros.
- Cyber Risk Takers
Os Cyber Risk Takers adoptam uma abordagem centrada no negócio e colocam menos ênfase no alinhamento com a estratégia de cibersegurança. Reportam também uma maior probabilidade de cumprir ou até mesmo exceder os objectivos empresariais, mas o seu foco no negócio é feito à custa do sucesso da cibersegurança.
Lideram na obtenção de resultados empresariais em oito áreas de negócio no inquérito da Accenture, incluindo redução de custos, crescimento do negócio, tempo de chegada ao mercado mais rápido, conquista de quota de mercado, desenvolvimento de novos produtos/serviços, entrada em novos mercados, maior satisfação do cliente e experiências de utilização sem fricções.
Significativamente, os Cyber Risk Takers asseguram um orçamento cibernético mais elevado – e mesmo assim, os ataques bem-sucedidos são ainda duas vezes mais elevados do que os dos Business Blockers e 10 pontos percentuais mais elevados do que os The Vulnerable. Assegurar um orçamento maior não se traduz numa melhor ciber-resiliência.
Apesar de estar centrado em objectivos comerciais, o desempenho dos Cyber Risk Takers está entre os mais fracos quando se trata da percentagem média de ataques bem-sucedidos e da percentagem média de ataques significativos (Figura 7).
E têm um problema de afectação de recursos – falta- -lhes visibilidade e as suas métricas pouco claras atrasam as decisões de investimento e demonstram uma má afectação de fundos. Menos CISO a autorizar o orçamento de segurança, podem levar a que os Cyber Risk Takers tenham bastante dinheiro, mas pouca experiência quando se trata de gerir os seus orçamentos de cibersegurança.
Embora um enfoque apenas no alinhamento possa permitir potenciais benefícios comerciais significativos, sem uma base de resiliência cibernética, as empresas estarão em maior risco e terão custos mais elevados de segurança cibernética.
Os Cyber Risk Takers podem reduzir os custos em 65% por cada ataque bem-sucedido se aumentarem o seu desempenho para os níveis dos Cyber Champions, com poupanças de cerca de 200 mil euros por ataque.
- Cyber Champions
Os Cyber Champions são o topo do topo. Tal como os Business Blockers, os Cyber Champions estão entre os 30% melhores em pelo menos três dos quatro critérios de ciber-resiliência. O que os distingue é o seu estreito alinhamento com a estratégia empresarial.
O número de ataques bem-sucedidos experienciados pelos Cyber Champions é inferior em oito pontos percentuais ao dos Business Blockers e 36 pontos percentuais inferior ao dos Cyber Risk Takers, e são estas empresas que experienciam menos ataques significativos (Figura 9).
Os Cyber Champions têm uma resposta mais rápida à detecção e correcção – um dia extra para estar totalmente operacional pode fazer toda a diferença no resultado final.
Os Cyber Champions são mais capazes de se protegerem da perda de dados – cerca de 4% dos Cyber Champions perdem mais de 500 mil registos – 6,5 vezes menos do que os Cyber Risk Takers, com 27%.
Parte do sucesso dos Cyber Champions no alinhamento com o negócio pode resultar do facto de terem uma maior quota de líderes de áreas de negócio responsáveis pela cibersegurança – praticamente duas vezes (1,9 vezes) mais do que os Cyber Risk Takers.
Os principais países e sectores representados nos Cyber Champions incluem os EUA, Japão, Reino Unido e Alemanha; e seguros, telecomunicações, high tech e retalho respectivamente (Figura 10).
COMO SER UM CYBER CHAMPION
- Dar aos CISO um lugar na administração
Os CISO devem afastar-se de silos apenas centrados na segurança e colaborar com os executivos certos da organização para compreender os riscos e as prioridades empresariais. Ao aproveitarem a experiência e os conhecimentos da equipa de liderança mais ampla, os CISO podem ganhar uma perspectiva mais ampla que sirva bem todo o negócio.
O estudo da Accenture mostrou que os Cyber Champions se distinguem em termos das suas estruturas de informação. Cerca de 70% deste grupo reporta ao CEO e ao Conselho de Administração e demonstra uma relação muito mais estreita com o CFO – este tipo de comunicação acontece sete vezes mais do que nos outros grupos.
E os Cyber Champions exploram estas relações quando se trata de definir a estratégia. Consultam mais com os CEO (51%) e os CFO (49%) quando desenvolvem a estratégia de cibersegurança da sua organização – quase duas vezes mais do que os Business Blockers.
Quando se trata de autorização orçamental, apenas 19% dos Cyber Champions têm os seus orçamentos autorizados pelo CEO ou Conselho de Administração, em comparação com 23% para os Business Blockers e 39% para os Cyber Risk Takers (Figura 11). Isto sugere que os Cyber Champions têm mais autonomia no que diz respeito aos orçamentos e dependem menos do CEO e do Conselho de Administração para aprovação.
- Estar centrado na ameaça e alinhado com os negócios
Os CISO apenas têm de reflectir sobre o aumento de 160% ano a ano dos ransomwares em 2020 para reconhecer que os ataques cibernéticos estão a pormover uma abordagem “mais vale prevenir do que remediar”.
Dado que remediar pode custar 30 vezes mais do que prevenir, assim que um ataque de ransomware acontece, um dos maiores desafios quando atinge um ambiente empresarial é compreender as prioridades. Qual é o sistema mais importante a recuperar na rede? De que é que dependem as receitas? O que é que é mais essencial para as operações?
Manter os criminosos longe da empresa depende de líderes de segurança estreitamente alinhados com o negócio como parceiros na redução do risco. Este alinhamento ajuda a incorporar a segurança nas prioridades do negócio.
Os Cyber Champions compreendem a importância de equilibrar a segurança e o negócio – avaliam e monitorizam frequentemente para melhorar continuamente a sua função de segurança e permitir ao negócio gerir o risco.
O estudo da Accenture mostrou que quase 90% dos Cyber Champions avaliam a maturidade do seu programa de cibersegurança pelo menos anualmente ou com mais frequência, 18% mais do que os Business Blockers (Figura 12). Isto indica que os Cyber Champions compreendem claramente os riscos, enquanto os Business Blockers podem não os estar a ver.
Ao avaliar e monitorizar os perfis de risco e ao disponibilizar esses dados à liderança, os CISO podem alinhar-se melhor com o negócio.
- Tirar o máximo partido de uma cloud segura
A segurança deve ser integrada consistentemente na cloud. Demasiadas vezes, é acrescentada no final da trajectória cloud-first e pode atrasar os resultados do negócio – ou até mesmo levar a que se tenha de fazer de novo todo o trabalho dispendioso.
A segurança na cloud permite melhores resultados comerciais, sendo rápida, simples, escalável, pró-activa e rentável.
Com uma mudança acelerada para a utilização da cloud, é importante retirar dela todo o seu valor. Ao mudarem-se para a cloud, as organizações devem aproveitar a oportunidade para redefinir a sua postura de segurança, mais cedo e mais eficazmente – assim como fazem os nossos Cyber Champions.
A maioria dos Cyber Champions (83%) refere que a segurança é uma consideração importante quando se deslocam operações para a cloud, contra 70% da amostra total. Os Cyber Champions são melhores a introduzir a segurança nas suas iniciativas na cloud – não vêem o envolvimento da segurança como uma barreira significativa aos diálogos sobre a cloud (Figura 13). Os Cyber Champions sabem o que fazer; trabalham em estreito alinhamento com o negócio para migrar para a cloud de maneira mais segura.
OS EXECUTIVOS DE SEGURANÇA E NÃO SEGURANÇA ESTÃO DE ACORDO?
O último inquérito da Accenture mostra que ainda existem diferenças na forma como os executivos de segurança e não segurança vêem as coisas. Em suma, as suas respostas salientam as lacunas entre os executivos de segurança e os executivos de não segurança na forma como percepcionam a eficácia da segurança, o orçamento e os riscos de ataque (Figura 14).
Quando questionados sobre os obstáculos que impedem as suas organizações de atingir objectivos de cibersegurança, houve uma diferença média de 14 pontos percentuais entre as respostas dos executivos de segurança e os de outras áreas em sete factores significativos. Em particular, discordaram sobre o envolvimento da segurança em diálogos sobre a cloud – 43% dos executivos que não são de segurança contra 31% dos executivos de segurança disseram que a segurança não fazia parte do diálogo e que estão agora a tentar recuperar o atraso.
Estas diferenças de opinião podem reflectir uma maior confiança por parte dos executivos de segurança na sua capacidade de resiliência cibernética. Ou podem indicar que os executivos de segurança precisam de trabalhar mais na integração no negócio para que as prioridades sejam definidas e claras. Seja como for, é importante que os executivos de segurança e de negócios se alinhem melhor, para que os resultados do negócio possam ser direccionados, avaliados e cumpridos.
O CAMINHO PARA A CIBER-RESILIÊNCIA
Embora este tenha sido um ano como nenhum outro, enfatizou o papel essencial da cibersegurança dentro do negócio e a importância do alinhamento das estratégias de cibersegurança e negócio.
Estamos a assistir a desafios familiares que notámos no passado – os ataques cibernéticos estão a subir, os investimentos em segurança continuam a aumentar e a relação da segurança com a cloud continua a revelar-se um desafio.
Até o estatuto dos CISO na organização cresceu – mais CISO reportam directamente ao CEO ou Conselhos de Administração (72% em 2021 em comparação com 59% em 2020) e está a ser-lhes dado um controlo mais directo sobre os orçamentos.
Neste clima, onde a mudança é a palavra de ordem, procurar a melhor forma de gerir as operações de segurança pode fazer toda a diferença. Não se trata de uma via de sentido único.
Como se pôde constatar neste relatório da Accenture, as organizações que se concentram unicamente no crescimento empresarial têm vindo a perder os benefícios da ciber-resiliência. E existem benefícios para as organizações que procuram pró-activamente um forte alinhamento sinérgico entre a segurança e o negócio.
Alinhando os seus esforços de cibersegurança com a estratégia empresarial, as organizações podem não só alcançar melhores resultados empresariais, como também aproveitar uma vantagem na corrida à ciber-resiliência.
Artigo publicado na revista Executive Digest n.º 191 de Fevereiro de 2022