As organizações do Reino Unido encontram-se numa posição desconfortável. Fortes padrões de proteção de dados pós-Brexit foram mantidos através do GDPR do Reino Unido, e um curso independente também foi definido.
A ambição do Reino Unido tem sido permanecer interoperável com os quadros europeus, promovendo a inovação e a competitividade.
Diretor de Estratégia e Operações EMEA na Kiteworks.
Embora pareça bom no papel, a execução conta uma história muito diferente.
O artigo continua abaixo
Dados de pesquisas recentes revelam que as empresas do Reino Unido seguem consistentemente padrões de referência globais sobre as capacidades operacionais necessárias para demonstrar conformidade, e não apenas documentá-la. Em diversas áreas críticas, as instituições britânicas ficam atrás não só dos líderes mundiais, mas também dos seus vizinhos em França e na Alemanha.
Como está o Reino Unido?
Os números pintam um quadro consistente de mau desempenho. As organizações do Reino Unido relatam apenas 37% de capacidade de detectar anomalias de IA. A recuperação de dados de treinamento é de apenas 44%. Representa as principais capacidades para responder a eventos que as empresas britânicas não priorizaram.
Mais preocupantes são as áreas em que o Reino Unido continua a ficar significativamente atrasado a nível global. A gestão SBOM atinge 23% no Reino Unido e 28% globalmente. O rastreamento contínuo de fornecedores está em 28%, em comparação com 35% globalmente.
Talvez o mais surpreendente seja que apenas 9% das organizações do Reino Unido possuem livros de resposta a incidentes com seus fornecedores terceirizados.
Estas medidas destacam como as organizações do Reino Unido estão a construir a infra-estrutura operacional necessária para detectar incidentes, responder de forma eficaz e demonstrar aos reguladores que os controlos estão a operar mais lentamente do que os seus pares.
Fraqueza na visibilidade da cadeia de abastecimento
Os números da cadeia de suprimentos de software merecem atenção especial. Afinal, os ataques à cadeia de abastecimento tornaram-se um vetor chave para agentes de ameaças sofisticados. A capacidade das empresas de compreender quais componentes estão em seu ambiente de software é fundamental para a proteção contra esses ataques.
As organizações não podem corrigir vulnerabilidades em componentes que não sabem que estão em execução.
Ao mesmo tempo, a visibilidade da cadeia de abastecimento é cada vez mais uma expectativa regulamentar. Embora o Reino Unido não esteja diretamente sujeito ao NIS2, as organizações que operam nos mercados europeus ou que servem clientes europeus enfrentam estes requisitos através das suas relações comerciais.
Além disso, os reguladores do Reino Unido manifestaram um foco crescente na gestão do risco da cadeia de abastecimento em vários setores.
Finalmente, à medida que os sistemas de IA proliferam, isso traz complexidade adicional à cadeia de abastecimento. Os modelos de IA dependem de conjuntos de dados de treinamento, APIs de terceiros, componentes pré-treinados e serviços externos. Cada integração adiciona uma vulnerabilidade potencial.
Ao ritmo atual de adoção do SBOM, as organizações do Reino Unido não têm visibilidade de uma parte cada vez maior do seu cenário tecnológico, precisamente à medida que esse património se torna mais complexo.
Cegueira de terceiros
É também preocupante que as organizações no Reino Unido indiquem que a monitorização contínua dos vendedores é de 28%, o nível mais baixo de qualquer mercado europeu pesquisado. Os incidentes combinados atingem apenas 9%.
Considere o que isso significa na prática. Quando um fornecedor crítico sofre um incidente de segurança, 91% das organizações do Reino Unido não têm uma resposta coordenada com antecedência. Não há caminho de escalonamento documentado. Não existe um protocolo de comunicação acordado. Nenhuma compreensão compartilhada de quem faz o quê e quando.
Isto cria exposição ao abrigo do RGPD do Reino Unido, que exige medidas adequadas para garantir que os processadores forneçam salvaguardas suficientes. Os reguladores têm interpretado consistentemente que isto inclui a supervisão contínua e não apenas disposições contratuais estabelecidas no início de uma relação.
O número de 28% de monitorização contínua dos fornecedores sugere que a supervisão contínua continua subdesenvolvida. A maioria das organizações no Reino Unido depende de avaliações periódicas em vez de visibilidade contínua da postura de risco dos fornecedores. Num ambiente de ameaças onde as condições mudam rapidamente, os instantâneos periódicos podem não refletir a realidade atual.
Complicações pós-Brexit
As conclusões sobre a governação de dados transfronteiriços são de particular importância para as organizações do Reino Unido. Com mecanismos transfronteiriços representando aproximadamente 32% dos fluxos de trabalho, o Reino Unido está aproximadamente em linha com a França e a Alemanha.
Infelizmente, as organizações do Reino Unido enfrentam uma complexidade adicional nos fluxos de dados transfronteiriços precisamente porque o Brexit criou novas fronteiras. Em 19 de dezembro, a UE renovou a decisão de adequação do Reino Unido por mais seis anos.
As transferências da UE dependem da confiança das instituições europeias nas normas do Reino Unido. Ambos exigem que as organizações do Reino Unido demonstrem fortes controlos operacionais, e não apenas o cumprimento das políticas.
Para manter a relevância, deve ser demonstrado que a protecção de dados no Reino Unido permanece substancialmente equivalente às normas europeias. Aos actuais níveis de capacidade operacional, as organizações do Reino Unido poderão ter dificuldades em fornecer esta evidência.
A equivalência política é necessária, mas não suficiente. Os reguladores esperam cada vez mais provas de que as políticas são traduzidas em prática.
Prioridades para agentes de segurança
Cinco áreas requerem atenção imediata dos gestores de TI e segurança do Reino Unido.
Primeiro, acelere a adoção do SBOM. Faça do gerenciamento de inventário de software um pré-requisito para novas implantações, especialmente sistemas de IA. Exigir documentação de dependência dos fornecedores como condição de envolvimento.
Em segundo lugar, invista no monitoramento contínuo dos fornecedores. Vá além das avaliações periódicas para obter visibilidade contínua da postura crítica de risco do fornecedor. Priorize fornecedores com acesso a dados confidenciais ou funções comerciais críticas.
Terceiro, estabelecer acordos conjuntos de resposta a incidentes. Use mecanismos contratuais existentes para estabelecer acordos formais de resposta com fornecedores críticos. Faça exercícios de mesa todos os anos. Documente os caminhos de escalonamento antes que ocorram incidentes.
Quarto, crie capacidades de resposta a incidentes específicas de IA. As organizações do Reino Unido não possuem as competências necessárias para governar a IA. Os livros tradicionais de resposta a incidentes de TI não abordam os modos de falha da IA. Habilidades específicas são essenciais.
Por último, implementar controlos transfronteiriços. Após o Brexit, as organizações do Reino Unido enfrentam uma complexidade crescente nos fluxos de dados transfronteiriços. Trate isso como um domínio operacional primário com controles e monitoramento dedicados, e não como um mero exercício de conformidade baseado em documentação.
Forte na política, fraco nas evidências
Claro, nem tudo é ruim. O quadro regulamentar do Reino Unido permanece forte e a sua experiência em segurança cibernética é reconhecida mundialmente. Contudo, os enquadramentos e as experiências não se traduzem automaticamente em competências operacionais. As instituições do Reino Unido têm a função de construir a infra-estrutura para cumprir, e não apenas reivindicar.
As organizações que colmatarem estas lacunas serão capazes de competir eficazmente em mercados que exigem cada vez mais capacidades de segurança comprovadas para manter a confiança dos clientes, satisfazer as expectativas regulamentares e demonstrar capacidades de segurança comprovadas. Aqueles que não o fizerem explicarão por que sua documentação não corresponde às suas operações.
A lacuna não está na política. Está em evidência. Para as organizações do Reino Unido que navegam nas complexidades do pós-Brexit, essas evidências nunca foram tão importantes.
Apresentamos o melhor navegador privado.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
