O estudo (CS)2AI-KPMG Control System Cybersecurity Annual Report 2024, produzido pela KPMG e (CS)2AI, chega à sua terceira edição e apresenta os progressos e os desafios das empresas na abordagem desse tópico crítico.
O relatório deste ano é baseado nos resultados de uma pesquisa realizada com mais de 630 membros da indústria em geral e uma amostra representativa dos quase 34 mil membros da comunidade da (CS)2AI em todo o mundo (até o momento).
Esses participantes responderam questões relacionadas a suas experiências com eventos de segurança de sistemas de controles, padrões de ataque e suas respostas, bem como as prioridades em alocação de recursos para proteger sistemas e ativos críticos.
A série de Relatórios Anuais sobre o Sistema de Controles da (CS)2AI -KPMG foi lançada em 2019 com o objetivo de produzir ferramentas informativas de tomada de decisão para pessoas envolvidas no trabalho de garantir o funcionamento dos ativos e das operações do sistema de controle.
Uma das preocupações destacadas no relatório deste ano é a crescente escassez de profissionais qualificados em segurança cibernética para os ambientes de tecnologia operacional (OT)/ICS. Com o aumento das ameaças cibernéticas, a demanda por especialistas nunca foi tão alta.
No entanto, os dados mostram que as organizações enfrentam dificuldades na contratação e retenção desses talentos, o que ressalta a necessidade urgente de investir no desenvolvimento de habilidades e em treinamentos para a equipe existente.
Quase metade das organizações que responderam à pesquisa (49%) permanece sem programas de segurança cibernética ICS/OT ou têm apenas um programa básico, sem planos, procedimentos ou processos de melhoria de capacidade estabelecidos.
Em relação à alocação de recursos, os respondentes em diferentes níveis organizacionais revelaram prioridades bem diversas, o que traz dúvidas sobre o alinhamento de seus incentivos e acerca do porquê de seus objetivos serem tão díspares.
Entre as mudanças positivas apontadas no relatório, inclui-se a crescente conscientização sobre os riscos associados à segurança cibernética no âmbito da Tecnologia Operacional (OT). As discussões com executivos de alto nível cada vez mais abrangem a segurança cibernética de OT como um ponto focal para as estratégias das organizações.
O estudo aponta ainda um aumento significativo no monitoramento da atividade da rede de sistemas de controle, com incremento de 80% no último ano. Ou seja: as empresas estão cada vez mais atentas à importância de detectar e responder rapidamente a atividades suspeitas nos sistemas de controle.
O levantamento também aponta pouca diferença entre as organizações com programas de Alto Nível de Maturidade (High M) e aquelas com baixa maturidade (Low M) nessa área. Porém, os componentes nas organizações de High M são geralmente mais acessíveis do que naquelas de Low M.