Um novo estudo levado a cabo pela Devoteam Cyber Trust, braço especializado em Cibersegurança do Grupo Devoteam, juntamente com a IDC, mostra que somente 31% das organizações que participam no estudo consegue gerir todos os aspectos de conformidade referentes à segurança e privacidade e prevê que, até 2025, 70% dos CEOs de grandes organizações europeias serão incentivados a gerar pelo menos 40% das suas receitas provindas de iniciativas digitais.
Estas conclusões resultam de um inquérito feito junto de 700 profissionais de IT e segurança da Europa (incluindo Portugal) e Médio Oriente, cujos resultados ajudam a elucidar quanto à questão das políticas e estratégias de segurança e conformidade de terceiras partes.
À medida que os ataques cibernéticos aumentam, também aumentam os orçamentos e a importância estratégica dada à questão da segurança.
Na verdade, o crescente risco cibernético, juntamente com o foco no digital, leva a um reforço nos orçamentos de segurança: as empresas enfrentam cada vez mais ataques cibernéticos, e por isso devem reforçar ainda mais a sua “ambição” digital.
Este estudo mostra um certo aumento nos orçamentos de segurança, juntamente com uma antevisão mais estratégica das questões de segurança, o que sugere que muitas empresas reconhecem os desafios que têm pela frente, mas carecem dos meios para os enfrentar. Basta olhar para os números e ver que a security-by-design – conceito extremamente importante na prevenção de todo o tipo de riscos – é praticada apenas por pouco mais de metade das organizações (53%).
É um facto que a resiliência cibernética é uma prioridade, no entanto as organizações têm dificuldade na parte da sua execução: 55% dos entrevistados disse que a resiliência cibernética é a “principal prioridade com uma estratégia definida” em vigor, sugerindo que mais de metade das organizações europeias e no Médio Oriente têm uma abordagem madura em relação à resiliência cibernética. No entanto, os resultados do estudo também mostram que, apesar de definir prioridades, as organizações estão ainda a lutar para corrigir os riscos de segurança conhecidos e que melhorar ou fortalecer a postura de segurança ao longo do tempo é um desafio.
O que significa que, apesar dos crescentes orçamentos de segurança e maior influência estratégica, a maioria das organizações ainda sofre com baixa eficiência e capacidade operacional. E aqui falamos tanto de empresas que trabalham com equipas de segurança internamente, como as que trabalham com MSSP.
Nesta mesma linha, o estudo avançou ainda que empresas menos maduras usam MSSP (Provedores de Serviços Geridos de Cibersegurança) mais extensivamente, para ter melhor capacidade de segurança (excepto para serviços financeiros).
Existe uma forte correlação inversa entre a extensão do uso de MSSPs por um sector e a sua visão estratégica de segurança. Basicamente, as indústrias mais maduras adoptam menos o MSSP. E isto faz sentido, pois os sectores que exibem capacidade em funções de segurança têm menos necessidade de terceirizar, optando por ser selectivos no uso de MSSP.
Por sua vez, indústrias menos maduras precisam de aceder a recursos de segurança mais sofisticados que não podem obter por conta própria e, portanto, precisam de terceirizar. Estes também podem considerar terceirizar a segurança, pois não a vêem como uma competência estratégica e essencial que precisam manter internamente.
O outsider óbvio são os serviços financeiros. Esta é uma indústria particularmente madura no que diz respeito à segurança. O que pode parecer estranho, já que os bancos geralmente têm recursos financeiros para financiar este tipo de serviços, porém segundo o estudo é um sector que valoriza a entrada de MSSPs de terceiros e são mais propensos a usar as funções e tecnologias mais sofisticadas disponíveis, e os MSSPs são uma forma eficiente para adquiri-los.
Independentemente da sua dimensão, todas as empresas passam pelo mesmo processo ao considerar a possibilidade de acelerar a terceirização da segurança. O principal impulsionador é uma maior vulnerabilidade a novas ameaças, o que não é surpresa. Curiosamente, o aumento da complexidade também é um acelerador, implicando que as empresas vêem o MSSP como um caminho para a simplificação ou, mais provavelmente, uma forma de lidar com a complexidade que na verdade não conseguem gerir sozinhas.
Quanto à selecção de um parceiro de segurança, o estudo mostra que apesar de haver outros, os compradores consideram os seguintes factores os mais importantes:
- 36% Acesso a ferramentas avançadas, como resposta a incidentes, inteligência de ameaças e XDR (Extended detection and response);
- 35% Maior monitorização de ameaças com visibilidade em tempo real e resposta mais rápida;
- 32% Equipa alargada de especialistas e consultores de segurança certificados;
- 28% Ajuda para evitar configurações incorretas.
Ou seja, é dada prioridade às capacidades técnicas, rapidez e eficiência no tempo de resposta e know-how especializado.
Por fim, mas não menos relevante, o estudo é claro no que toca ao sucesso do funcionamento com o MSSP: é necessário que as organizações tenham uma visão holística do relacionamento para desenvolver uma verdadeira parceria, com base num alinhamento perfeito entre a visão, cultura e respectivas métricas.
“Tendo como foco a actual importância do papel da Segurança para as organizações na sua jornada digital, este estudo tenta compreender a visão, motivações, prioridades e desafios dos profissionais de IT e de Segurança perante a decisão da escolha de um MSSP (Managed Security Service Provider)”, conclui Rui Shantilal, Managing Partner da Integrity Part of Devoteam que, a partir de hoje, adota o nome de Devoteam Cyber Trust, mantendo-se a mesma equipa de gestão, estrutura e apoio directo aos clientes.
No fundo, esta etapa conclui o processo da aquisição feita pela Devoteam em 2021, quando a Integrity passou a ser Integrity Part of Devoteam, com o principal intuito de fortalecer o braço de Cibersegurança da Devoteam, com a forte componente de serviços geridos pela Integrity, passando na verdade a Integrity a ser o motor dos Managed Services da Devoteam Cyber Trust.
