Profissionais de segurança dizem que o governo federal deve fazer mais para proteger e proteger o setor privado

Um total de 95% dos profissionais pesquisados ​​pela Tripwire acredita que o governo deveria desempenhar um papel maior na proteção de empresas não governamentais.

Em resposta à recente onda de ataques de ransomware de alto perfil, o governo dos EUA tem assumido um papel mais ativo na batalha contra o cibercrime. Além de perseguir gangues de ransomware e recuperar dinheiro roubado de vítimas, os federais vêm anunciando novas iniciativas e pressionando as agências federais a se protegerem melhor. Mas há mais que o governo deveria estar fazendo? Um novo relatório da empresa de segurança Tripwire tenta responder a essa pergunta.

VEJA: Ransomware: O que os profissionais de TI precisam saber (PDF grátis) (TechRepublic)

Divulgada na terça-feira, a Pesquisa da Tripwire: Segurança e Governo Federal foi baseada em uma pesquisa realizada pela Dimensional Research com 306 profissionais de segurança nos EUA que trabalham em organizações com mais de 1.000 funcionários.

Cerca de 34% dos entrevistados trabalham para o governo federal. Outros 17% trabalham para empresas de infraestrutura crítica, como as de manufatura, energia, farmacêutica, alimentos e agricultura e petróleo e gás. O restante estava empregado em outras empresas do setor privado.

Uma pergunta na pesquisa perguntou sobre os padrões de segurança avançados pelo Instituto Nacional de Padrões e Tecnologia. A estrutura de segurança cibernética do NIST oferece diretrizes e práticas recomendadas para gerenciar ameaças de segurança. Cerca de um quarto dos entrevistados disseram que são obrigados a seguir os padrões do NIST, enquanto outro quarto disse que os seguem, embora não sejam obrigatórios. Apenas cerca de 5% disseram que não seguem essas diretrizes. E 95% que seguem os padrões disseram que os acharam extremamente, muito ou pouco valiosos.

Entre os 95% dos entrevistados que acham que o governo federal deveria tomar mais medidas para proteger melhor as empresas do setor privado, 43% disseram que os federais deveriam melhorar e fortalecer os padrões do NIST. Outros disseram que os padrões do NIST deveriam ser aplicados fora do governo federal.

Alguns disseram que o governo deveria revelar uma nova legislação com aplicação e supervisão dos padrões de segurança, enquanto outros disseram que deveria ser mais agressivo no uso de ferramentas diplomáticas para desencorajar hackers estrangeiros. Mais duas recomendações foram de que o governo deveria regular as criptomoedas para criar barreiras ao ransomware e que deveria dar mais apoio às vítimas de ransomware. Apenas 5% disseram que o governo não deve desempenhar um papel de segurança cibernética no setor privado.

CONSULTE: Política de gerenciamento de patches (TechRepublic )

A pesquisa também perguntou se o governo federal está fazendo o suficiente para evitar ataques de ransomware? Aqui, as respostas variaram muito entre os entrevistados. Um total de 81% daqueles que trabalham para o governo disseram que está fazendo o suficiente, mas 71% daqueles que trabalham em infraestrutura crítica e 80% daqueles em outras empresas do setor privado disseram que não está fazendo o suficiente.

O governo federal é mais eficaz em segurança cibernética do que o setor privado? Essa pergunta também dividiu os participantes, pois 43% disseram que as agências governamentais eram melhores, enquanto outros 43% disseram que o setor privado faz um trabalho melhor. Seguindo essa pergunta, a Tripwire perguntou aos profissionais de segurança se suas organizações estão preparadas para lidar com novas ameaças. A maioria (59%) disse que está apenas acompanhando o ritmo, 29% disseram que estão ficando à frente e 12% disseram que estão ficando para trás.

Entre aqueles que disseram que sua organização pode estar ficando para trás em segurança cibernética, a maioria citou a falta de conhecimento e recursos internos. Outros disseram que é impossível acompanhar novos tipos de ataques, que a liderança não prioriza a segurança cibernética e que seu setor não tem sido tradicionalmente um alvo.

Aqueles que disseram que sua organização está acompanhando o ritmo ou ficando à frente das ameaças apontaram motivos como um grande investimento nas pessoas e ferramentas necessárias para fazer o trabalho, liderança tornando a segurança uma prioridade, fazendo bem o básico da segurança cibernética e o custo do fracasso sendo muito alto.

De todos os tipos de ataques cibernéticos que mais preocupam os profissionais de segurança, o ransomware foi citado por 53%, explorações de vulnerabilidades por 35%, e-mails de phishing por 34% e engenharia social por 24%. Questionados se mudaram suas defesas de segurança cibernética como resultado de ataques recentes contra infraestrutura crítica, quase metade disse que sim, enquanto 35% disseram que planejaram certas mudanças, mas ainda não as implementaram.

VEJO: Como se tornar um profissional de segurança cibernética: uma folha de dicas (TechRepublic)

Por fim, a pesquisa abordou o tópico de confiança zero, que é frequentemente recomendado como uma prática recomendada para proteger seus dados críticos e outros ativos. Cerca de 75% dos entrevistados acreditam que a arquitetura de confiança zero teria alta ou alguma probabilidade de melhorar sua segurança cibernética.

Questionados sobre os benefícios da confiança zero, a maioria disse que toda a comunicação é segura, independentemente da localização da rede. Outros entrevistados disseram que o o a recursos empresariais individuais é concedido por sessão, todas as fontes de dados e serviços de computação são considerados recursos, o o aos recursos é determinado por uma política dinâmica e todas as tentativas de autenticação e autorização são rigorosamente aplicadas antes do o. é permitido.

“Está claro que as organizações – tanto do setor público quanto do privado – estão buscando mais orientação do governo federal”, disse Tim Erlin, vice-presidente de estratégia da Tripwire. “Geralmente, a aplicação e implementação de política de segurança cibernética a longo prazo levará tempo, mas é importante que as agências estabeleçam um plano e meçam a execução em relação a esse plano para proteger nossa infraestrutura crítica e além.”