O que profissionais de SI podem aprender com cibercriminosos?

Pesquisa descreve como cibercriminosos estão em vantagem graças a incentivos que geram um grande negócio em um mercado flexível e dinâmico; os defensores, por outro lado, frequentemente atuam em hierarquias burocráticas com pouco apoio e estrutura mínima

Compartilhar:

Em um estudo intitulado Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity, a Intel Security, em parceria com o Centro de Estudos Estratégicos e Internacionais (CSIS), destaca “como as organizações podem aprender com os criminosos cibernéticos”. A pesquisa descreve como os cibercriminosos estão em vantagem graças a incentivos que geram um grande negócio em um mercado flexível e dinâmico. Os defensores, por outro lado, frequentemente atuam em hierarquias burocráticas.

 

“O mercado de criminosos cibernéticos está preparado para o sucesso por conta de sua própria estrutura, a qual rapidamente recompensa a inovação e promove o compartilhamento das melhores ferramentas”, disse Candace Worley, VP de Enterprise Solutions da Intel Security. Segundo Worley, para que os profissionais cibernéticos e de TI no governo e nas empresas possam competir com os atacantes, eles precisam ser tão perspicazes e ágeis quanto os criminosos que buscam capturar, e ainda oferecer incentivos que valorizem a equipe de TI.

 

“É fácil elaborar uma estratégia, mas a execução é difícil”, complementa Denise Zheng, diretora e membro sênior do programa de política tecnológica no CSIS. “Como os governos e as empresas abordam e tratam seus incentivos desalinhados irá ditar a eficácia de seus programas de segurança cibernética. Não é uma questão de o ‘quê’ precisa ser feito, mas sim determinar o ‘porquê’ não está sendo feito e ‘como’ fazer isto melhor.”

 

Desalinhamentos são comuns dentro das organizações dos defensores. Por exemplo, enquanto mais de 90% das organizações relatam possuir uma estratégia de segurança cibernética, menos da metade as implementou integralmente. Além disso, 83% disseram que suas empresas foram afetadas por violações da segurança, indicando uma desconexão entre estratégia e implementação.

 

Embora os criminosos cibernéticos tenham um apoio direto para sua atuação, a pesquisa não apenas mostra que existem poucos incentivos para os profissionais de segurança cibernética, mas também que os executivos estavam muito mais confiantes do que a equipe operacional no que diz respeito à eficácia dos existentes. Por exemplo, 42% dos profissionais de SI relataram que não existem incentivos, em comparação com apenas 18% dos tomadores de decisão e 8% dos líderes.

 

O relatório sugere maneiras sobre como a comunidade de defesa pode aprender com as comunidades de atacantes:

 

  • Optar pelo security-as-a-service
  • Usar divulgação pública
  • Aumentar a transparência
  • Reduzir barreiras de entrada para o pool de talentos cibernéticos
  • Alinhar os incentivos de desempenho desde a liderança sênior até os operadores

 

A boa notícia, segundo os autores do relatório, é que a maioria das empresas reconhece a gravidade do problema da segurança cibernética e está disposta a enfrentá-lo. As organizações necessitam mais do que ferramentas para combater os atacantes cibernéticos. A experimentação é necessária para determinar a combinação certa de métricas e incentivos para cada organização, na medida em que abordam a segurança cibernética como mais do que simplesmente uma estrutura consciente de custos e se tornam mais inovadoras em sua estrutura e processos organizacionais.

 

Outras conclusões decisivas do relatório incluem o seguinte:

  • Não executivos têm três vezes mais probabilidade em comparação aos executivos de observar os déficits de recursos financeiros e humanos como causadores de problemas para a implementação da sua estratégia de segurança cibernética.

 

  • Apesar de incentivos para profissionais segurança cibernética estarem faltando, 65% estão motivados pessoalmente a fortalecer suas organizações de segurança cibernética.

 

  • 95% das organizações já sofreram os efeitos das violações de segurança cibernética, incluindo interrupção das operações, perda de PI, danos à reputação e à marca da empresa, entre outros efeitos. Contudo, apenas 32% relataram experiências de perda de lucros ou receita, o que pode levar a uma falsa sensação de segurança.

 

  • O setor governamental foi o menos susceptível a relatar dispor de uma estratégia de segurança cibernética totalmente implementada (38%). Esse setor também teve uma maior participação de agências com inadequados recursos financeiros (58%) e humanos (63%) em comparação com o setor privado (33% e 43%).

 

 

Conteúdos Relacionados

Security Report | Destaques

84% dos Líderes de SI relatam o estresse como ameaça à proteção de dados e sistemas

Além disso, o mesmo percentual afirma ouvir de suas organizações que o esgotamento é parte natural dos profissionais de Segurança...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo o Ministério da Gestão e Inovação, a Universidade Federal do Amapá,...
Security Report | Destaques

Centro de estudos do SENAI CIMATEC quer posicionar Brasil no mapa da SI Quântica

O espaço acadêmico tem recebido investimentos da Embrapii e apoio da comunidade de TI, Segurança e inovação para avançar nos...
Security Report | Destaques

STJ é alvo de novo incidente cibernético contra administração pública

Instância do poder Judiciário é mais um entre os órgãos afetados em ataques recentes aos poderes da República. Em nota,...