As equipes de GRC têm vários desafios para atender às demandas regulatórias
Os profissionais seniores de risco e conformidade em empresas de serviços financeiros não confiam nos dados de segurança que estão fornecendo aos reguladores, de acordo com Panaseer.
Os resultados de uma pesquisa externa global com mais de 200 líderes de GRC revelam preocupações sobre a precisão dos dados, sobrecarga de solicitações, processos com muitos recursos e falta de automação ponta a ponta.
Os resultados indicam um problema mais amplo com o gerenciamento de riscos cibernéticos . Se os líderes de GRC não têm confiança na precisão e oportunidade dos dados de segurança fornecidos aos reguladores, o mesmo se aplica à confiança em sua própria capacidade de compreender e combater os riscos cibernéticos.
41% dos líderes de risco se sentem ‘muito confiantes’ de que podem atender às solicitações relacionadas à segurança de um regulador em tempo hábil. 27,5% estão ‘muito satisfeitos’ com o alinhamento dos relatórios de segurança de suas organizações com as necessidades de conformidade regulamentar.
Os líderes de GRC citaram seus principais desafios em atender às solicitações dos reguladores, como:
- Obter acesso a dados precisos (35%)
- O número de solicitações de relatório (29%)
- O tempo que leva para obter informações da equipe de segurança (26%)
As limitações das ferramentas tradicionais de GRC
O problema foi perpetuado pelas limitações das ferramentas tradicionais de GRC, que contam com questionários qualitativos para fornecer evidências de conformidade. Isso não reflete os desafios atuais do ciberespaço.
92% dos profissionais seniores de risco e conformidade acreditam que seria valioso ter relatórios de garantia de controles de segurança quantitativos (versus qualitativos) e 93,5% acreditam que é importante automatizar os relatórios de risco e conformidade de segurança. No entanto, apenas 11% afirmam que seus relatórios de risco e conformidade são automatizados de ponta a ponta.
96% disseram que é importante priorizar a correção de riscos de segurança com base em seu impacto para os negócios, mas a maioria não consegue isolar o risco para processos de negócios críticos compostos de pessoas, aplicativos, dispositivos. Apenas 33,5% dos entrevistados estão ‘muito confiantes’ em sua capacidade de entender todos os estoques de ativos.
Charaka Goonatilake , CTO, Panaseer : “Diante dos crescentes pedidos dos reguladores, os líderes do GRC recorreram a muitas pessoas para atender a pedidos urgentes. Esses processos manuais, combinados com a falta de escalabilidade da ferramenta GRC, exigem amostragem de dados, o que significa que eles não podem ter visibilidade completa ou total confiança nos dados que estão fornecendo.
“O desafio está sendo exacerbado por novos riscos introduzidos por sensores de IoT e terminais, que raramente consideram a segurança um requisito fundamental e, portanto, apresentam maior risco e aumentam a importância dos controles e mitigações para resolvê-los.”
Andreas Wuchner , membro do Conselho Consultivo do Panaseer: “Para enfrentar a nova realidade das ciberameaças e pressões regulatórias, muitas organizações precisam repensar fundamentalmente as ferramentas e defesas tradicionais.
“Os líderes de GRC podem aumentar sua confiança para atender com precisão e rapidez às necessidades das partes interessadas, implementando o Monitoramento de Controles Contínuos, uma categoria emergente de segurança e risco, que acaba de ser reconhecida no Ciclo de Hype de Gerenciamento de Risco da Gartner 2020.
Fonte: https://www.helpnetsecurity.com/2020/09/28/grc-teams-challenges-meeting-regulatory-demands/