s
17/11/2024

O fator humano e a escassez de talentos com as skills desejadas estão entre os principais desafios que as empresas enfrentam em segurança cibernética e IA (Crédito: Freepik)

 

A adoção de novas tecnologias em segurança cibernética representa duas vertentes: a possibilidade para a organização avançar e se tornar mais competitiva e a ampliação da superfície de ataque. De acordo com um levantamento de supervisão de segurança cibernética divulgado pela EY nos Estados Unidos, 93% das empresas estão usando a IA Generativa (GenAI) de alguma forma, e muitas relatam que têm planos de “usar a GenAI para melhorar a segurança cibernética, ajudando as empresas a identificar possíveis riscos cibernéticos, detectar vulnerabilidades e violações e priorizar os esforços de segurança cibernética”.

No entanto, as ameaças cibernéticas continuam a crescer. No ano passado, o FBI registrou um aumento de 10% nas reclamações e um aumento de 22% nas perdas sofridas – agora US$ 12,5 bilhões por ano. Quase um terço (32%) desses incidentes envolve algum tipo de esquema de extorsão, como ransomware.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

Os riscos cibernéticos de terceiros também estão crescendo: o levantamento aponta que a dependência de terceiros para ambientes operacionais de TI cada vez mais complexos está expandindo a área de superfície da ameaça. Ao mesmo tempo, as divulgações sobre o uso de um consultor externo independente pela empresa mais do que dobraram, passando de 43% em 2023 para 87% em 2024, e 10% informaram que seus conselhos se envolvem com um consultor.

Principais desafios internos em cibersegurança para empresas

 Para proteger os ativos digitais e informações sensíveis, as organizações enfrentam desafios que começam “dentro de casa”:

  • Complexidade do ambiente tecnológico
  • Expansão da superfície de ataque
  • Riscos da cadeia de suprimentos
  • Fator humano e adoção de melhores práticas
  • Escassez de talentos em cibersegurança
  • Integração da cibersegurança nas decisões de negócios
  • Adoção de novas tecnologias e IA
  • Gerenciamento de risco de terceiros

Anteriormente, falamos sobre complexidade do ambiente tecnológicoexpansão da superfície de ataque e riscos da cadeia de suprimentos. Agora, vamos tratar dos demais desafios: fator humano, escassez de talentos, integração da cibersegurança nas decisões de negócios, adoção de novas tecnologias e gerenciamento de risco de terceiros. Leia a seguir.



4. Fator humano e adoção de melhores práticas

O erro humano continua sendo um grande facilitador de ataques cibernéticos. Para algumas lideranças de segurança cibernética, talvez o maior. Essa visão nasce da fraca conformidade com as melhores práticas de cibersegurança, juntamente com os dados de uma pesquisa que aponta o departamento de TI como o terceiro maior desafio interno.

Apenas metade dos líderes de cibersegurança diz que seu treinamento cibernético é eficaz, e apenas 36% estão satisfeitos com a adoção de melhores práticas fora da área de TI. Isso levanta questões sobre a eficácia real desse treinamento.

Solução: Treinamento eficaz e integração da cibersegurança na cultura organizacional

Para abordar o fator humano, as organizações devem:

  • Simplificar as melhores práticas solicitadas à força de trabalho e criar barreiras em seus processos para limitar riscos, em vez de depender apenas da conformidade.
  • Implementar treinamento regular e incremental, aproveitando as mais recentes ferramentas de automação e prevenção.
  • Incorporar a cibersegurança na psique de cada pessoa na organização, tornando-a uma segunda natureza.

As organizações “Secure Creators” estão mais satisfeitas com a adoção de melhores práticas de cibersegurança do que as empresas menos eficazes. Na comparação, 47% das organizações classificadas como “Secure Creators” estão satisfeitas com suas práticas, contra 27% das demais empresas, indicando que essa abordagem pode trazer resultados positivos.

 


5. Escassez de talentos em cibersegurança

A escassez de talentos em segurança cibernética é um desafio recorrente, com a lacuna da força de trabalho em cibersegurança crescendo mais de duas vezes mais rápido que a força de trabalho cibernética mundial no último ano.

Solução: Abordagem criativa para aquisição e desenvolvimento de talentos

Para enfrentar a escassez de talentos, as organizações “Secure Creators” estão adotando abordagens mais criativas:

  • Priorizar o recrutamento ou requalificação de trabalhadores que atualmente não estão no campo da segurança cibernética (28% no caso dos “Secure Creators”, frente a 14% das empresas menos eficazes).
  • Buscar contratações não tradicionais de diversas origens, incluindo áreas funcionais onde a automação reduziu significativamente as cargas de trabalho, como finanças e TI geral.
  • Terceirizar mais suas operações de segurança (uma decisão adotada com sucesso por 25% dos “Secure Creators”, em comparação com 15% das empresas menos eficazes).
  • Priorizar a padronização e automação de processos de segurança para reduzir as necessidades de pessoal (35% dos “Secure Creators” frente a 26% dos concorrentes).
  • Formular funções individuais para coordenar equipes de negócios e cibernéticas, atuando como uma capacidade de “consultoria” que serve de ligação entre as equipes cibernéticas e o negócio mais amplo. Em geral, estas funções se enquadram no papel dos BISOs (Business Information Security Officers).

6. Integração da cibersegurança nas decisões de negócios

Garantir que a cibersegurança seja integrada nas decisões de negócios em todos os níveis da organização está entre os maiores desafios internos em todas as organizações. Existe uma lacuna de percepção entre os CISOs e a diretoria e board sobre a eficácia da abordagem de cibersegurança da organização, muitas vezes sedimentada em conflitos do passado. Hora de virar a chave.

Solução: Comunicação eficaz e alinhamento estratégico

Para superar esse desafio, as organizações devem:

  • Garantir que os CISOs tenham um assento na mesa de gerenciamento sênior.
  • Traduzir a narrativa de cibersegurança em uma história que ressoe em termos de redução de riscos, impacto nos negócios e criação de valor.
  • Alinhar as percepções de desempenho entre o CISO e a alta administração, o que é uma marca de empresas mais seguras.
  • Integrar as operações de cibersegurança com as prioridades e estratégias de negócios principais, o que está associado a menores chances de experimentar incidentes.

7. Adoção de novas tecnologias e IA

A rápida adoção de novas tecnologias, especialmente a Inteligência Artificial (IA) e a IA Generativa (GenAI), apresenta novos desafios de segurança cibernética. De acordo com dados da EY, 93% das empresas estão usando GenAI de alguma forma, e muitas organizações planejam usar GenAI para melhorar a cibersegurança. No entanto, o uso crescente de GenAI em todas as funções de negócios está abrindo novas vulnerabilidades que muitas funções cibernéticas não estão posicionadas para dar conta.

Solução: Abraçar proativamente a IA na função cibernética

Para enfrentar esse desafio, as organizações devem:

  • Adotar rapidamente tecnologias emergentes na defesa cibernética, incluindo o uso de IA e automação. Isso permitiu que as organizações Secure Creators tenham tempos de detecção e resposta a incidentes cibernéticos mais de 50% mais rápidos do que outras organizações.
  • Integrar IA nos processos de detecção, resposta e recuperação de novas maneiras. Avanços em aprendizado profundo e redes neurais agora permitem que conjuntos de dados maiores e mais heterogêneos sejam analisados em tempo real.
  • Usar IA para automatizar partes significativas do processo de caça a ameaças, ajudando a identificar atividades maliciosas e responder mais rapidamente.
  • Focar em mudar de profissionais cibernéticos técnicos para operadores e “ajustadores finos” de IA. Funcionários com habilidades de engenharia de prompts, habilitados pela tecnologia certa e uma interface de IA, podem fazer o trabalho de vários testadores de penetração.

8. Gerenciamento de riscos de terceiros

Com a crescente dependência das organizações de empresas terceiras, profissionais freelancer e parceiros para preencher as lacunas em ambientes operacionais de TI, a gestão de riscos de terceiros tornou-se um desafio crítico de cibersegurança.

Solução: Avaliação e monitoramento contínuos de riscos de terceiros

Para abordar esse desafio, as organizações devem:

  • Implementar um programa abrangente de gerenciamento de riscos de terceiros que inclua:
    • Avaliação inicial rigorosa de todos os novos fornecedores e parceiros.
    • Monitoramento contínuo da postura de segurança dos terceiros.
    • Revisões periódicas dos controles de segurança dos fornecedores.
  • Utilizar tecnologia e automação para melhorar a eficiência e eficácia do programa de gerenciamento de riscos de terceiros. Isso pode incluir:
    – Integração de provedores de dados externos para obter informações em tempo real sobre os riscos dos fornecedores.
    – Uso de ferramentas de automação para realizar avaliações de risco contínuas.
  • Adotar uma abordagem centralizada para o gerenciamento de riscos de terceiros. Organizações com modelos centralizados podem gerenciar efetivamente quase o dobro de terceiros em comparação com estruturas híbridas.
  • Desenvolver planos de contingência e estratégias de saída para fornecedores de alto risco. O estudo da EY mostra que apenas 48% das organizações têm esses planos em vigor.
  • Integrar considerações de governança ambiental, social e corporativa (ESG) nas avaliações de risco de terceiros, refletindo a crescente importância desses fatores.
  • Implementar uma estrutura de governança clara para o gerenciamento de riscos de terceiros, garantindo que haja responsabilidade e supervisão adequadas em toda a organização.
  • Investir em treinamento e conscientização para garantir que todos os funcionários envolvidos na gestão de relacionamentos com terceiros compreendam os riscos e as melhores práticas de mitigação.
  • Utilizar análise de dados avançada para identificar padrões e tendências nos riscos de terceiros, permitindo uma abordagem mais proativa para o gerenciamento de riscos.

 


SOBRE ESTE CONTEÚDO: A série Ciberinteligência é um projeto conjunto da divisão de cibersegurança da EY em parceria com a The Shift. Com atuação em Assurance, Consulting, Strategy, Tax e Transactions, a EY existe para construir um mundo de negócios melhor, ajudando a criar valor no longo prazo para seus clientes, pessoas e sociedade e gerando confiança nos mercados de capitais. Tendo dados e tecnologia como viabilizadores, equipes diversas da EY em mais de 150 países contribuem para o crescimento, transformação e operação de seus clientes. Saiba mais sobre como geramos valor as empresas por meio da tecnologia.

Segurança Cibernética: Como superar os desafios internos na era da IA - Parte 1

The Shift 360°

Segurança Cibernética: Como superar os desafios internos na era da I...

Conheça as estratégias das organizações mais eficazes em cibersegurança para simplificar ambientes tecnológicos e reduzir riscos de ataques

Segurança Cibernética Redefinida: Cases mostram o poder da IA

The Shift 360°

Segurança Cibernética Redefinida: Cases mostram o poder da IA

Da automação de respostas no setor financeiro ao monitoramento de veículos autônomos, descubra como a IA está moldando a nova era da cibersegurança

Por The Shift Marketing Services*
Como os CISOs devem planejar o orçamento de segurança cibernética para 2025

The Shift 360°

Como os CISOs devem planejar o orçamento de segurança cibernética p...

Os gastos com serviços de segurança cibernética devem crescer quase 16% e mais 13% em segurança de rede. Saber planejar e ter flexibilidade vão garantir os recursos para cibersegurança

Cibersegurança descomplicada: Por que simplificar processos melhora a resposta a incidentes

The Shift 360°

Cibersegurança descomplicada: Por que simplificar processos melhora a...

A complexidade excessiva pode ser o maior inimigo da cibersegurança

IA e ML na Segurança Cibernética: Como proteger sua empresa e transformar tecnologia em vantagem

The Shift 360°

IA e ML na Segurança Cibernética: Como proteger sua empresa e transf...

Um dos principais desafios trazidos pela aplicação de ferramentas de IA e ML é a capacidade de escalar e automatizar ataques

Como cultivar a confiança cibernética dentro da empresa: estratégias para lideranças

The Shift 360°

Como cultivar a confiança cibernética dentro da empresa: estratégia...

A confiança cibernética está profundamente ligada à resiliência organizacional

O Fator Humano: Como o treinamento em IA fortalece a segurança cibernética nas empresas

The Shift 360°

O Fator Humano: Como o treinamento em IA fortalece a segurança cibern...

O erro humano continua a ser um facilitador de ataques cibernéticos e, quando somado à falta de conformidade com as melhores práticas, aparece entre os maiores desafios internos nas organizações

A evolução dos CISOs: Liderança em segurança cibernética e crescimento empresarial

The Shift 360°

A evolução dos CISOs: Liderança em segurança cibernética e cresci...

A função de CISO agora exige uma combinação de insight estratégico, habilidades de negócios e habilidades de liderança, indo além do conhecimento técnico

Governança Cibernética: Veja as perguntas que o conselho e conselheiros deveriam fazer para entender como apoiar a segurança cibernética na empresa

The Shift 360°

Governança Cibernética: Veja as perguntas que o conselho e conselhei...

Os conselhos devem reforçar a importância de conscientizar funcionários e treiná-los para identificar, evitar e se recuperar de riscos potenciais na forma de phishing, malware, ransomware ou até deepfake

Estratégias de Ciberinteligência: a importância da automação para proteger sua empresa

The Shift 360°

Estratégias de Ciberinteligência: a importância da automação para...

Para colher os melhores resultados, as organizações devem equilibrar a automação com o controle humano, especialmente em áreas em que o julgamento e a experiência são críticos

Ciberinteligência: As vantagens da IA e IA Generativa para a estratégia de cibersegurança

The Shift 360°

Ciberinteligência: As vantagens da IA e IA Generativa para a estraté...

A Inteligência Artificial e a IA Generativa devem compor o eixo que sustenta a estratégia de cibersegurança das companhias que buscam vantagem competitiva e gerar valor

Cibersegurança: Conheça os

The Shift 360°

Cibersegurança: Conheça os "Secure Creators" e saiba porque são mai...

As organizações definidas como "Secure Creators" contam com funções cibernéticas altamente eficazes. São as primeiras a adotar tecnologias com novas abordagens pensando em seu crescimento

IA é a grande aliada da cibersegurança

The Shift 360°

IA é a grande aliada da cibersegurança

A Inteligência Artificial está se tornando uma facilitadora para a segurança cibernética nas empresas, como aponta o relatório da EY

Agenda dos líderes cibernéticos e de privacidade

The Shift 360°

Agenda dos líderes cibernéticos e de privacidade

Os líderes cibernéticos e de privacidade devem agir agora para enfrentar os desafios de segurança mais urgentes da atualidade