Tendências de Cibersegurança: Adoção do Design Centrado no Ser Humano, Implantação de Programas ‘Zero Trust’ e Desafios na Quantificação de Riscos
O Gartner, empresa líder em pesquisa e aconselhamento empresarial, divulgou as previsões de cibersegurança para 2023 e 2024. Segundo as pesquisas, 50% dos diretores de segurança da informação adotarão um design centrado no ser humano para reduzir atritos operacionais, as grandes empresas vão implementar programas “Zero Trust” e metade dos líderes de cibersegurança tentará usar a quantificação dos riscos cibernéticos sem sucesso para direcionar decisões corporativas.
“Não há dúvida de que os CISOs e suas equipes devem focar no que acontece hoje para garantir que suas organizações sejam mais seguras”, diz Richard Addiscott, Analista e Diretor Sênior do Gartner “Mas esses executivos também precisam reservar um tempo para olhar além dos seus desafios diários, examinar o horizonte a identificar ameaças que podem impactar seus programas de segurança nos próximos anos. Essas informações funcionam como um sinalizador e devem ser consideradas por qualquer CISO que busca criar um programa de cibersegurança eficaz e sustentável.”
O Gartner recomenda que os líderes de cibersegurança criem suas estratégias para os próximos dois anos em sintonia com essas 8 previsões:
Até 2027, 50% dos CISOs adotarão formalmente práticas de design centradas no ser humano em seus programas de cibersegurança para minimizar o atrito operacional e maximizar a adoção de controle – Pesquisa do Gartner mostra que mais de 90% dos colaboradores que admitiram realizar uma série de ações inseguras durante o trabalho já sabiam que suas ações aumentariam o risco para a organização, mas o fizeram de qualquer maneira. O design de segurança centrado no ser humano é modelado com o indivíduo – não na tecnologia, ameaça ou localização – como o foco e implementação de controle para minimizar o atrito.
10% das organizações vão usar com sucesso a privacidade como uma vantagem competitiva – As empresas estão começando a reconhecer que um programa de privacidade pode permitir que elas usem dados de forma mais ampla, diferenciando-se dos concorrentes e criando confiança com clientes, parceiros, investidores e órgãos reguladores. O Gartner recomenda que os líderes de segurança apliquem um padrão de privacidade abrangente de acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD) para se destacarem em um mercado cada vez mais competitivo e crescerem sem obstáculos.
Até 2026, 10% das grandes empresas terão um programa abrangente, maduro e mensurável de ‘Zero Trust’ em vigor, acima dos menos de 1% hoje – Uma implementação de ‘Zero Trust’ madura e abrangente exige integração e configuração de vários componentes, o que pode ser bastante técnico e complexo. O sucesso é altamente dependente da conversão em valor comercial. Começando pequeno, uma mentalidade de ‘Zero Trust’ em constante evolução facilita compreender os benefícios de um programa e gerenciar parte da complexidade em uma etapa de cada vez.
Até 2027, 75% dos colaboradores adquirirão, modificarão ou criarão tecnologia fora da visibilidade da TI, acima dos 41% em 2022 – Reenquadrar o modelo operacional de cibersegurança é a chave para as mudanças que estão por vir. O Gartner recomenda pensar além da tecnologia e da automação para se envolver profundamente com os colaboradores, influenciar a tomada de decisões e garantir que eles tenham o conhecimento apropriado para agir de maneira informada.
Até 2025, 50% dos líderes de cibersegurança tentarão, sem sucesso, usar a quantificação do risco cibernético para orientar a tomada de decisões corporativas – A pesquisa do Gartner indica que 62% das empresas que adotam a quantificação de ameaças citam ganhos leves em credibilidade e conscientização sobre o problema, mas apenas 36% alcançaram resultados baseados em ações, incluindo redução de riscos, economia de dinheiro ou influência real na decisão. Os líderes de segurança devem concentrar o poder de fogo na quantificação de temas que os tomadores de decisão pedem, ao invés de produzir análises genéricas para tentar persuadir a empresa a se preocupar.
Até 2025, quase metade dos líderes de cibersegurança mudará de emprego, dos quais 25% irão para funções diferentes, principalmente causa do estresse relacionado ao trabalho – Acelerado pela pandemia e escassez de pessoal em todo o setor, as pressões de trabalho do setor estão aumentando e se tornando insustentáveis. O Gartner sugere que, embora eliminar esse problema seja irreal, os profissionais podem gerenciar trabalhos desafiadores e estressantes em empresas que oferecem apoio e são capazes de mudar as regras de engajamento para promover mudanças culturais.
Até 2026, 70% dos Conselhos de Administração incluirão um membro com experiência em cibersegurança – Para que os líderes desse setor sejam reconhecidos como parceiros de negócios, eles precisam reconhecer o apetite pelo risco do Conselho de Administração e da companhia. Isso significa não apenas mostrar como o programa de cibersegurança evita que coisas desfavoráveis aconteçam, mas também como melhora a capacidade da empresa de assumir riscos de maneira eficaz. O Gartner recomenda que os CISOs se antecipem à mudança para promover e apoiar a cibersegurança via Conselho e estabelecer um relacionamento mais próximo no intuito de melhorar a confiança e o suporte.
Até 2026, mais de 60% dos recursos de detecção, investigação e resposta a ameaças (TDIR – Threat Detection and Incident Response, do inglês) aproveitarão os dados de gerenciamento de exposição para validar e priorizar os riscos detectados, acima dos 5% atuais – À medida que as superfícies de ataque organizacional se expandem devido ao aumento da conectividade, assim como o uso de Software como Serviço (SaaS) e de aplicativos em Nuvem, as empresas exigem uma ampla gama de visibilidade e um local central para monitorar constantemente as ameaças e a exposição. Os recursos TDIR podem fornecer uma plataforma unificada ou um ecossistema no qual a detecção, a investigação e a resposta podem ser gerenciadas, dando às equipes de operações de segurança uma visão completa dos riscos e de seu potencial impacto.