[Segurança] Cybersecurity Poverty Index

Recentemente a RSA Security lançou um estudo que batizou de "Cybersecurity Poverty Index" (pdf), baseado em uma consulta a mais de 400 profissionais de segurança em 61 países, para avaliar a maturidade em segurança cibernética em divesas empresas e países diferentes. Baseando-se no Cybersecurity Framework do NIST, os participantes avaliaram seus próprios programas de segurança corporativa através de 18 questões que abordaram cinco aspectos: Identificar, Proteger, Detectar, Responder e Recuperar de incidentes.

Os resultados revelaram algo que já sabemos: que a maioria das empresas não estão preparadas adequadamente:

• Cerca de 75% dos participantes reportaram que possuem maturidade insuficiente para lidar com os riscos de segurança (abaixo de 4, em uma escala de 1 a 5);
• 45% das empresas descreveram a incapacidade de quantificar, avaliar e minimizar os riscos de segurança, sendo que apenas 21% sinalizaram maturidade nessa área;
• 83% das organizações com mais de 10 mil funcionários classificaram seus recursos como menos do que “desenvolvidos";
• Somente um terço (34%) das empresas do setor financeiro e 18% das entidades de governo se classificam como bem preparadas (igual ou acima de 4, em uma escala de 1 a 5).

O relatório também indica que os gastos em segurança se concentram mais substancialmente em controles voltados à prevenção ao invés de detecção e resposta, uma vez que o recurso mais maduro revelado na pesquisa estava na área de “Proteção”.

A RSA disponibilizou um questionário online de auto-avaliação baseado no estudo, o "Cybersecurity Maturity Assessment", e um infográfico resumindo os resultados do estudo.