Maioria das Empresas Falham em Seu Planejamento de Segurança

A Thycotic divulgou o seu primeiro relatório anual de 2017 sobre Estado de Segurança Cibernética, que analisa os principais achados de uma pesquisa de referência do Security Measurement Index (SMI)  de mais de 400 negócios globais e executivos de segurança em todo o mundo.

58% das empresas em todo o mundo estão falhando em medir efetivamente os investimentos e o desempenho da cibersegurança

measure cybersecurity effectiveness

Com base em padrões de segurança internacionalmente aceitos e incorporados na ISO 27001, bem como as melhores práticas de especialistas da indústria e associações profissionais, a pesquisa Security Measurement Index fornece uma maneira de definir quão bem uma organização está medindo a eficácia de sua segurança de TI.

Falha na medição da eficácia da segurança cibernética

De acordo com as descobertas, mais de metade dos 400 entrevistados na pesquisa, 58%, obtiveram um grau “F” ou “D” ao avaliar seus esforços para medir seus investimentos em cibersegurança e desempenho em relação às melhores práticas.

É realmente surpreendente ter os resultados e ver quantas pessoas estão falhando em medir a eficácia de sua segurança cibernética e desempenho contra as melhores práticas“, disse Joe Carson, cientista chefe de segurança da Thycotic. Este relatório precisava ser conduzido para trazer à luz a realidade do que realmente está ocorrendo para que as empresas possam remediar seus erros e proteger seus negócios“.

Nas empresas globais e os governos que gastam mais de US $ 100 bilhões por ano em defesas de segurança cibernética, um número substancial, 32%, das empresas estão tomando decisões empresariais e comprando tecnologia de segurança cibernética. Ainda mais perturbador, mais de 80% dos entrevistados não incluem usuários de negócios na tomada de decisões de compra de segurança cibernética, nem estabeleceram um comitê de direção para avaliar o impacto comercial e os riscos associados aos investimentos em segurança cibernética.

As métricas de segurança ajudam a avaliar o progresso real na postura de segurança

measure cybersecurity effectiveness

Principais pontos observados

  • Uma em cada três empresas investe em tecnologias de segurança cibernética sem qualquer forma de medir seu valor ou eficácia.
  • Quatro em cinco empresas não sabem onde seus dados confidenciais estão localizados e como protegê-lo.
  • Quatro em cada cinco não conseguem se comunicar efetivamente com as partes interessadas das empresas e incluí-las em decisões de investimento em segurança cibernética.
  • Duas em cada três empresas não medem completamente se a recuperação de desastres funcionará como planejado.
  • Quatro em cada cinco nunca medem o sucesso dos investimentos em treinamento de segurança.
  • Enquanto 80% das violações envolvem credenciais roubadas ou fracas, 60% das empresas ainda não protegem adequadamente as contas privilegiadas.
  • As pequenas empresas são alvo de dois em cada três ataques cibernéticos.
  • Sessenta por cento das pequenas empresas ficam fora do mercado seis meses após uma violação.

Nós colocamos este relatório não só para mostrar os erros que estão sendo feitos, mas também para educar aqueles que precisam sobre como melhorar em cada uma das áreas que faltam“, acrescentou Carson. Nosso relatório fornece recomendações associadas a melhores maneiras de educar, proteger, monitorar e medir para que as melhorias possam ser implementadas“.

Metodologia SRM define estado atual e traça plano para investimentos de curto, médio e longo prazo para as empresas

Uma das formas de atacar este problema é usar a metodologia Security Risk Management – SRM da MindSec que avalia a estado geral da segurança, criando através de uma análise combinada das ISO27001 e COBIT uma visão do nível de maturidade dos controles de segurança  Security Maturity Model – SMM. Com o SMM em mãos é traçado um plano estratégico de curto, médio e longo prazo com previsões de investimentos e alocação de recursos.

Contate-nos para mais informações  contato@mindsec.com.br

fonte HelpNetSecurity & Thycotic Report

por MindSec 28/07/2017

 

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. CISO (Chief Information Security Officer)

Deixe sua opinião!