As equipes de GRC têm vários desafios para atender às demandas regulatórias

Os resultados de uma pesquisa externa global com mais de 200 líderes de GRC revelam preocupações sobre a precisão dos dados, sobrecarga de solicitações, processos com muitos recursos e falta de automação ponta a ponta.

Os resultados indicam um problema mais amplo com o gerenciamento de riscos cibernéticos . Se os líderes de GRC não têm confiança na precisão e oportunidade dos dados de segurança fornecidos aos reguladores, o mesmo se aplica à confiança em sua própria capacidade de compreender e combater os riscos cibernéticos.

41% dos líderes de risco se sentem ‘muito confiantes’ de que podem atender às solicitações relacionadas à segurança de um regulador em tempo hábil. 27,5% estão ‘muito satisfeitos’ com o alinhamento dos relatórios de segurança de suas organizações com as necessidades de conformidade regulamentar.

Os líderes de GRC citaram seus principais desafios em atender às solicitações dos reguladores, como:

• Obter acesso a dados precisos (35%)
• O número de solicitações de relatório (29%)
• O tempo que leva para obter informações da equipe de segurança (26%)

As limitações das ferramentas tradicionais de GRC

O problema foi perpetuado pelas limitações das ferramentas tradicionais de GRC, que contam com questionários qualitativos para fornecer evidências de conformidade. Isso não reflete os desafios atuais do ciberespaço.

92% dos profissionais seniores de risco e conformidade acreditam que seria valioso ter relatórios de garantia de controles de segurança quantitativos (versus qualitativos) e 93,5% acreditam que é importante automatizar os relatórios de risco e conformidade de segurança. No entanto, apenas 11% afirmam que seus relatórios de risco e conformidade são automatizados de ponta a ponta.

96% disseram que é importante priorizar a correção de riscos de segurança com base em seu impacto para os negócios, mas a maioria não consegue isolar o risco para processos de negócios críticos compostos de pessoas, aplicativos, dispositivos. Apenas 33,5% dos entrevistados estão ‘muito confiantes’ em sua capacidade de entender todos os estoques de ativos.

Charaka Goonatilake , CTO, Panaseer : “Diante dos crescentes pedidos dos reguladores, os líderes do GRC recorreram a muitas pessoas para atender a pedidos urgentes. Esses processos manuais, combinados com a falta de escalabilidade da ferramenta GRC, exigem amostragem de dados, o que significa que eles não podem ter visibilidade completa ou total confiança nos dados que estão fornecendo.

“O desafio está sendo exacerbado por novos riscos introduzidos por sensores de IoT e terminais, que raramente consideram a segurança um requisito fundamental e, portanto, apresentam maior risco e aumentam a importância dos controles e mitigações para resolvê-los.”

Andreas Wuchner , membro do Conselho Consultivo do Panaseer: “Para enfrentar a nova realidade das ciberameaças e pressões regulatórias, muitas organizações precisam repensar fundamentalmente as ferramentas e defesas tradicionais.

“Os líderes de GRC podem aumentar sua confiança para atender com precisão e rapidez às necessidades das partes interessadas, implementando o Monitoramento de Controles Contínuos, uma categoria emergente de segurança e risco, que acaba de ser reconhecida no Ciclo de Hype de Gerenciamento de Risco da Gartner 2020.

Fonte: https://www.helpnetsecurity.com/2020/09/28/grc-teams-challenges-meeting-regulatory-demands/