Empresas estão a redirecionar a estratégia de segurança para a observação dos riscos

Os especialistas da Qualys indicam que, apesar de, até à data, existirem centenas de milhares de vulnerabilidades (mais de 185 mil registadas até ao momento), os cibercriminosos só conseguem explorar duas vulnerabilidades em cada mil na prática. Neste contexto, os peritos indicam as quatro principais tendências para melhorar a eficácia da cibersegurança, atualmente.

Com a figura do gestor de segurança ou CISO cada vez mais presente nos órgãos de direção das empresas, é mais necessário do que nunca fornecer a estes níveis superiores informações claras e concisas sobre os riscos reais do negócio. “Falar em termos de vetores de ataque e listar vulnerabilidades ou sistemas de pontuação não é uma boa estratégia”, diz Sergio Pedroche, country manager para Portugal e Espanha na Qualys. “É essencial que todos os dados sejam analisados a partir de uma perspetiva centrada no risco, que forneça uma imagem mais clara da real situação das ameaças”, completa.

Noutro plano, a avaliação de ameaças é “impossível sem uma visibilidade abrangente e esta é uma tarefa difícil, mas fundamental nos complexos ambientes informáticos dos dias de hoje”, indica a empresa. Ver cada elemento, enumerando-o e quantificando as suas vulnerabilidades será, portanto, o primeiro passo para permitir que as organizações possam priorizar as ameaças de forma mais eficaz.

Além disso, as ferramentas de segurança díspares de hoje em dia operam, frequentemente, em silos. As tendências apontam para a consolidação numa plataforma unificada que oferece capacidades de automatização para monitorização, deteção e remediação de riscos, para que as equipas de segurança possam dar o próximo passo importante no sentido da gestão de riscos, uma vez que é a partir destas plataformas que surge a inteligência acionável, que permite às equipas reduzir o risco e melhorar o cumprimento, tal como exigido pelas empresas individuais.

Finalmente, uma plataforma unificada proporcionará uma grande variedade de opções de relatórios e painéis de controlo automatizados. Quebrando com a tradição, os relatórios de segurança modernos fornecem métricas concisas e definidas pelo risco que respondem a requisitos empresariais específicos, bem como normas industriais, padrões de referência, melhores práticas e quadros regulamentares, nota a Qualys.

“As empresas têm diferentes necessidades de conformidade. O que constitui um risco elevado para uma organização pode não significar nada para outra, e a tarefa do CISO atualmente é, mais do que nunca, filtrar o insignificante e proteger o crítico, cumprindo ao mesmo tempo os regulamentos sem afetar a agilidade empresarial”, reflete Sergio Pedroche. 

De acordo com os peritos da Qualys, a conclusão para os decisores de segurança é que as empresas olham para o risco do ponto de vista dos danos potenciais e não da probabilidade de ocorrência. O ano de 2022 é, portanto, um ano em que a consciência a este respeito está a aumentar e os profissionais de segurança estão cada vez mais a ajustar a sua postura de ameaça para que ambas as estratégias estejam alinhadas.