São Paulo — InkDesign News — Durante reuniões de conselhos em provedores de serviços de saúde, a desconexão entre a real segurança cibernética e a percepção dos líderes tem sido alarmante. Apesar das altas taxas de métricas de treinamento e relatórios detalhados, dados cruciais estão sendo ignorados, levando a uma falsa sensação de segurança.
Vetor de ataque
A falta de conscientização e treinamento efetivo em phishing está se mostrando um vetor de ataque vulnerável. Relatórios indicam que, embora a taxa de conclusão do programa de conscientização de segurança seja de 72%, os funcionários não estão aptos a detectar simulações de phishing, com um índice de sucesso estagnado em 52%. Essa situação reflete uma falha na implementação e eficácia dos treinamentos realizados.
Impacto e resposta
O impacto da segurança cibernética mal gerenciada é significativo. Em outro caso, um provedor de diagnósticos em saúde teve um terço de seus funcionários ignorando o treinamento e médicos burlando plataformas de teste de phishing. A falta de patching de vulnerabilidades críticas, especialmente em servidores Linux, comprometeu a integridade das defesas cibernéticas, gerando a necessidade urgente de uma reavaliação das práticas atuais.
Análise e recomendações
Os líderes de segurança cibernética precisam priorizar a substância sobre a aparência. Como afirma Gary Brickhouse, “Se a liderança em cibersegurança não consegue facilmente responder à pergunta: ‘Qual risco estamos mitigando com essa ação?’, você pode estar em território de teatro da segurança.” (
“Se a liderança em cibersegurança não consegue facilmente responder à pergunta: ‘Qual risco estamos mitigando com essa ação?’, você pode estar em território de teatro da segurança.”
(“If cybersecurity leadership can’t easily answer, ‘What risk are we mitigating with this action?’ you may be in theater territory.”)— Gary Brickhouse, CISO, GuidePoint Security
)
Rouffas, um especialista em segurança, sugere que os conselhos realizem exercícios de simulação de invasões, permitindo que líderes enfrentem as lacunas em suas compreensões de segurança. A comunicação precisa ser traduzida em termos de risco empresarial, fornecendo informações acionáveis em vez de jargão técnico.
Conforme a lacuna entre a percepção e a realidade continua a crescer, a abordagem nas ciberseguranças precisa ser revista. Garantir que a segurança vai além da conformidade, buscando resolver problemas reais, é essencial para prevenir um colapso nas defesas de segurança.
Fonte: (Dark Reading – Segurança Cibernética)
