O relatório "Kaspersky ICS Security Survey 2022: Seven keys to improving OT security performance" revela que, segundo 16% das empresas industriais europeias, a falta de profissionais de segurança de tecnologia operacional (OT) ameaça a sua proteção cibernética. Globalmente, 63% dos inquiridos na Europa enfrentaram desafios significativos em termos de pessoal de segurança de OT, tais como funcionários sobrecarregados e dificuldade em atrair talento qualificado. O relatório revela também uma falta geral de investimento em pessoal e salários.
Os operadores do sector confirmaram que a procura de competências de segurança OT/ICS e conhecimentos específicos tem vindo a aumentar nos últimos anos, devido à escalada das ameaças e ao aumento da predominância de estruturas e regulamentos de segurança TI/OT.
De acordo com o inquérito Kaspersky, as organizações industriais têm tido problemas significativos de pessoal, incluindo os relacionados com a falta de especialistas em cibersegurança (16%), excesso de pessoal (48%) e volume de negócios (36%). Apenas 1% dizem não sentir qualquer pressão no que diz respeito aos recursos humanos.
O relatório aponta para a falta de financiamento como uma das razões para este fosso entre a oferta e a procura de trabalhadores qualificados. A falta de financiamento levou a uma pequena força de trabalho, sendo o pessoal o aspeto mais subfinanciado da cibersegurança OT/ICS numa em cada duas organizações europeias (50%). Outros 21% dos inquiridos citam também a baixa remuneração e compensação como uma preocupação especial.
Globalmente, menos de metade (43%) das organizações industriais na Europa dedicaram equipas de segurança para OT/ICS. Dada a dificuldade de recrutar especialistas qualificados em cibersegurança industrial, muitas organizações estão a considerar a externalização, e 55% já estão a contar mais com fornecedores externos de serviços de segurança de OT desde a pandemia.
“Para organizar a proteção cibernética de uma empresa industrial, recorrer a uma equipa profissional, tal como um fornecedor de serviços de segurança geridos (MSSP), é uma opção eficaz. No entanto, se uma empresa precisar de ter a sua própria equipa de profissionais, pode envolver organizações especializadas e CERTs (equipas de resposta a emergências informáticas) como a Kaspersky ICS CERT, com conhecimentos especializados em encontrar vulnerabilidades, detetar ameaças e investigar incidentes cibernéticos que possam treinar a equipa interna para fazer o mesmo. Para além da formação de profissionais de segurança cibernética OT, é também necessário assegurar que os outros membros da equipa estejam cientes das questões de segurança cibernética. A formação nesta área pode ser fornecida através de programas de sensibilização direcionados, incluindo cursos presenciais, online e e-learning. Isto pode ser um requisito legal para as empresas de infraestruturas críticas.”, comenta Dmitriy Petrovichev, manager of the ICS CERT services group at Kaspersky.
A Kaspersky sugere os seguintes passos para mitigar esta lacuna na especialização em segurança OT/ICS:
- Melhorar o conhecimento geral sobre segurança de qualquer funcionário que interaja com equipamento industrial, para minimizar o risco de ataques devido a erro humano. Isto inclui práticas básicas tais como não utilizar máquinas ICS para negócios pessoais ou instalar nelas software não autorizado.
- Encontrar cursos de cibersegurança para gestores e engenheiros de IT/OT. Kaspersky ICS CERT sugere formação de sensibilização de segurança para IT, segurança IT e especialistas ICS, um módulo online na plataforma Kaspersky Automated Security Awareness, juntamente com cursos profissionais específicos sobre analise de incidentes digitais e resposta a incidentes.
O relatório completo, "Kaspersky ICS Security Survey 2022: Seven Keys to Improving OT Security Performance" está disponível para download aqui.
Post A Comment:
0 comments: