Os resultados de uma pesquisa externa global com mais de 200 líderes de GRC revelam preocupações sobre a precisão dos dados, sobrecarga de solicitações, processos com muitos recursos e falta de automação ponta a ponta.
Os resultados indicam um problema mais amplo com o gerenciamento de riscos cibernéticos . Se os líderes de GRC não têm confiança na precisão e oportunidade dos dados de segurança fornecidos aos reguladores, o mesmo se aplica à confiança em sua própria capacidade de compreender e combater os riscos cibernéticos.
41% dos líderes de risco se sentem ‘muito confiantes’ de que podem atender às solicitações relacionadas à segurança de um regulador em tempo hábil. 27,5% estão ‘muito satisfeitos’ com o alinhamento dos relatórios de segurança de suas organizações com as necessidades de conformidade regulamentar.
Os líderes de GRC citaram seus principais desafios em atender às solicitações dos reguladores, como:
O problema foi perpetuado pelas limitações das ferramentas tradicionais de GRC, que contam com questionários qualitativos para fornecer evidências de conformidade. Isso não reflete os desafios atuais do ciberespaço.
92% dos profissionais seniores de risco e conformidade acreditam que seria valioso ter relatórios de garantia de controles de segurança quantitativos (versus qualitativos) e 93,5% acreditam que é importante automatizar os relatórios de risco e conformidade de segurança. No entanto, apenas 11% afirmam que seus relatórios de risco e conformidade são automatizados de ponta a ponta.
96% disseram que é importante priorizar a correção de riscos de segurança com base em seu impacto para os negócios, mas a maioria não consegue isolar o risco para processos de negócios críticos compostos de pessoas, aplicativos, dispositivos. Apenas 33,5% dos entrevistados estão ‘muito confiantes’ em sua capacidade de entender todos os estoques de ativos.
Charaka Goonatilake , CTO, Panaseer : “Diante dos crescentes pedidos dos reguladores, os líderes do GRC recorreram a muitas pessoas para atender a pedidos urgentes. Esses processos manuais, combinados com a falta de escalabilidade da ferramenta GRC, exigem amostragem de dados, o que significa que eles não podem ter visibilidade completa ou total confiança nos dados que estão fornecendo.
“O desafio está sendo exacerbado por novos riscos introduzidos por sensores de IoT e terminais, que raramente consideram a segurança um requisito fundamental e, portanto, apresentam maior risco e aumentam a importância dos controles e mitigações para resolvê-los.”
Andreas Wuchner , membro do Conselho Consultivo do Panaseer: “Para enfrentar a nova realidade das ciberameaças e pressões regulatórias, muitas organizações precisam repensar fundamentalmente as ferramentas e defesas tradicionais.
“Os líderes de GRC podem aumentar sua confiança para atender com precisão e rapidez às necessidades das partes interessadas, implementando o Monitoramento de Controles Contínuos, uma categoria emergente de segurança e risco, que acaba de ser reconhecida no Ciclo de Hype de Gerenciamento de Risco da Gartner 2020.
Fonte: https://www.helpnetsecurity.com/2020/09/28/grc-teams-challenges-meeting-regulatory-demands/
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…