Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog da Tenable

Inscrever-se

Desvendando os Custos de Negócios do Risco Cibernético: Ponemon Study

O estudo constatou que as organizações não estão calculando corretamente os custos de negócios do risco cibernético e que não são capazes de quantificar o dano que poderia ser causado por ataques cibernéticos aos seus negócios. Portanto, elas não têm as informações críticas necessárias para tomar decisões sobre alocação de recursos, investimentos em tecnologia e priorização de ameaças.

Diferentemente de outras disciplinas de negócios, como CRM, ERP e RH, a segurança cibernética não tem métricas claras para ajudar os executivos a apresentar a tomada de decisão de forma compreensível para os diretores-executivos e outros diretores. Quando contratamos a Ponemon Research para estudar os efeitos do risco cibernético às operações de negócios, nosso objetivo era explorar como quatro KPIs comuns associados à Cyber Exposure resultavam em tipos específicos de riscos de negócios. Mais do que avaliar o impacto financeiro, nós queríamos explorar como o risco cibernético influencia a estratégia de negócios, os produtos, a cadeia de suprimentos, os fluxos de receita, as operações, a tecnologia de negócios, a experiência do cliente e a conformidade regulatória.

Depois de entrevistar 2.410 tomadores de decisão de TI e de segurança da informação em seis países, descobrimos que os KPIs ou as métricas tradicionais para a avaliação dos riscos de negócios não podem ser usados para entender os riscos cibernéticos. As organizações não calculam de forma precisa os custos de negócios do risco cibernético, sendo incapazes de quantificar os danos que os ataques cibernéticos poderiam causar aos seus negócios. Assim, decisões sobre a alocação de recursos, os investimentos em tecnologia e a priorização de ameaças são tomadas sem o apoio de informações críticas. Além disso, as organizações não são capazes de correlacionar os KPIs de risco cibernético que utilizam para a eliminação de violações de dados ou explorações de segurança.

Em uma época em que a diretoria está cada vez mais interessada na segurança cibernética, o estudo “Medir e gerenciar os riscos cibernéticos para as operações comerciais”, conduzido pelo Ponemon Institute a pedido da Tenable, revela uma falta de confiança entre os profissionais de segurança cibernética sobre a precisão de suas métricas. Isso deixa os CISOs e/ou outros executivos de tecnologia de segurança mais relutantes em compartilhar informações críticas sobre os custos de negócios dos riscos cibernéticos com a diretoria.

Análise de KPIs comuns

Para o estudo, identificamos quatro KPIs comuns usados para medir o risco cibernético:

  • tempo para avaliar;
  • tempo para corrigir;
  • eficácia da priorização dos riscos cibernéticos;
  • identificação de ativos vulneráveis ao risco cibernético, incluindo dispositivos de Tecnologia Operacional (TO) e de Internet das Coisas (IoT).

Além disso, exploramos os três KPIs usados mais frequentemente para medir as consequências financeiras de um ataque cibernético:

  • perda de receita;
  • perda de produtividade;
  • queda no preço das ações.

A maioria dos participantes (91%) admitiu que enfrentou pelo menos um incidente cibernético que interrompeu os negócios nos últimos 24 meses; 60% enfrentaram dois ou mais incidentes no mesmo período de tempo. Esses ataques resultaram em violações de dados e/ou em interrupções significativas e tempo de inatividade para as operações comerciais, os equipamentos de fábrica e operacionais.

A maioria dos participantes (58%) afirma que os KPIs e as métricas tradicionais usados para avaliar os riscos de negócios não podem ser usados para entender os riscos cibernéticos. Quando se trata de quantificar o dano que os eventos cibernéticos poderiam causar aos negócios, somente 41% dos participantes (988) afirmam que suas organizações fizeram tentativas nesse sentido. Além disso, apenas 30% dos participantes afirmam que suas organizações são capazes de correlacionar as informações dos KPIs de riscos cibernéticos com a tomada de ações para reduzir o risco de uma violação de dados ou exploração de segurança.

Dos 988 participantes que afirmaram que suas organizações tentam quantificar o dano que os incidentes de segurança poderiam causar aos seus negócios:

  • 54% dizem que quantificam o custo do roubo de propriedade intelectual;
  • 43% dizem que calculam o prejuízo financeiro em potencial;
  • 42% consideram o impacto da perda de produtividade dos funcionários após uma violação de dados ou exploração de segurança.

Quais fatores são usados para quantificar o risco em potencial de um ataque cibernético?

para a quantificação do risco de negócios de um ataque cibernético

Fonte: Calcular e gerenciar os riscos cibernéticos para as operações comerciais, Ponemon Institute e Tenable, dezembro de 2018.

Pedimos aos participantes para classificar a precisão das informações obtidas, usando os KPIs acima, em uma escala de 1 = imprecisas a 10 = muito precisas. Somente 38% dos participantes acreditam que suas medições são muito precisas, enquanto 44% acreditam que suas medições não são muito precisas.

O relatório revela ainda que as organizações não estão usando os KPIs que consideram mais importantes para avaliar e compreender as ameaças cibernéticas. Por exemplo, dois terços dos participantes (64%) identificaram o “tempo para avaliar” como um KPI importante para avaliar o risco cibernético, mas apenas 49% dos participantes utilizam essa métrica. Nós observamos lacunas semelhantes ao examinar os outros três KPIs discutidos no relatório (abaixo).

Lacunas entre o uso e a importância dos KPIs

KPI Usado por (% dos participantes) Considerado essencial (% dos participantes)
Tempo para avaliar o risco cibernético 49% 64%
Tempo para corrigir o risco cibernético 46% 70%
Identificar ativos de TO e IoT 34% 62%
Eficiência da priorização 38% 57%

Fonte: Calcular e gerenciar os riscos cibernéticos para as operações comerciais, Ponemon Institute e Tenable, dezembro de 2018.

Medir o risco cibernético: ninguém disse que seria fácil

Os participantes identificaram os sete motivos principais pelos quais suas organizações ainda enfrentam desafios de segurança cibernética, incluindo:

  • Função de TI com pessoal insuficiente;
  • Falta de recursos para gerenciar as vulnerabilidades;
  • Proliferação de dispositivos de IoT no local de trabalho;
  • Complexidade da infraestrutura de segurança de TI;
  • Falta de controles sobre o acesso de terceiros a dados sensíveis e confidenciais;
  • Dependência de processos manuais para responder às vulnerabilidades;
  • Visibilidade insuficiente sobre a superfície de ataque da sua organização.

Apesar de não existirem ações corretivas imediatas para nenhum desses problemas, nós acreditamos que, ao se concentrar nas cinco etapas a seguir, a sua organização poderá desenvolver uma estratégia de segurança cibernética orientada aos negócios.

  1. Identificar e mapear todos os ativos em qualquer ambiente computacional.
  2. Compreender a Cyber Exposure de todos os ativos, incluindo vulnerabilidades, configurações incorretas e outros indicadores de integridade de segurança.
  3. Compreender as exposições de forma contextualizada para priorizar as correções com base na criticidade do ativo, no contexto da ameaça e na gravidade da vulnerabilidade.
  4. Priorizar quais exposições devem ser corrigidas primeiro, se é que devem ser corrigidas, e aplicar a técnica de correção adequada.
  5. Medir e analisar a Cyber Exposure para tomar melhores decisões de negócios e de tecnologias.

Além da orientação apresentada acima, o relatório “Medir e gerenciar os riscos cibernéticos para as operações comerciais” termina com um processo de cinco etapas para medir e gerenciar o risco cibernético, que você pode colocar em prática na sua organização hoje mesmo.

Sobre este estudo

O relatório “Medir e gerenciar os riscos cibernéticos para as operações comerciais” é baseado em uma pesquisa com 2.410 tomadores de decisão de TI e de segurança da informação nos Estados Unidos, Reino Unido, Alemanha, Austrália, México e Japão. Todos os participantes estão envolvidos na avaliação e/ou no gerenciamento dos investimentos em soluções de segurança cibernética em suas organizações. As conclusões globais consolidadas são apresentadas neste relatório. Faça o download da sua cópia gratuita aqui.

Artigos relacionados

Você está vulnerável às últimas explorações?

Insira seu e-mail para receber os alertas de cyber exposure mais recentes em sua caixa de entrada.

tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte e treinamento

Tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste o Tenable.io Web Application Scanning

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste o Tenable.io Container Security

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Avalie o Tenable Lumin

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.

Experimente o Tenable.cs

Aproveite o acesso completo para detectar e corrigir erros de configuração da infraestrutura da nuvem e ver vulnerabilidades no tempo de execução. Inscreva-se para uma avaliação gratuita agora mesmo.

Entre em contato com um representante de vendas para comprar o Tenable.cs

Entre em contato com um representante de vendas para saber mais sobre o Tenable.cs Cloud Security e veja como é fácil integrar suas contas na nuvem e obter visibilidade das configurações incorretas e vulnerabilidades da nuvem em questão de minutos.

Teste o Nessus Expert gratuitamente

GRÁTIS POR 7 DIAS

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Já tem uma licença do Nessus Professional?
Atualize para o Nessus Expert gratuitamente por 7 dias.

Comprar o Nessus Expert

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Selecione sua licença

O preço promocional termina em 30 de setembro.
Compre uma licença para vários anos e economize mais.

Adicionar suporte