A complexidade crescente na gestão de vulnerabilidades exige que as organizações reavaliem as suas estratégias. O foco deixou de ser apenas corrigir falhas e passou a incluir a priorização das mais relevantes para as operações diárias. Contudo, a falta de informações detalhadas e precisas é um dos principais entraves, dificultando a identificação de quais vulnerabilidades necessitam de atenção urgente.

De acordo com os dados, 37% das organizações identificam a ausência de contexto ou informações precisas como um grande desafio, enquanto 35% mencionam que a insuficiência de dados claros limita os esforços de remediação. Além disso, 55% das organizações ainda não contam com sistemas abrangentes para priorizar vulnerabilidades e, muitas vezes, recorre-se a uma combinação de processos manuais e ferramentas automatizadas para lidar com o problema.

As tarefas manuais continuam a consumir uma grande quantidade de recursos. Para 57% das equipas de segurança, entre 25% e 50% do tempo é dedicado à gestão de vulnerabilidades, sendo comum que mais de cinco horas semanais sejam gastas apenas na consolidação e normalização de dados. Ainda assim, 51% afirmam que os resultados provenientes de scanners nem sempre são suficientes, exigindo ferramentas complementares e esforços adicionais.

Outro ponto crítico é a falta de confiança nos programas de gestão de vulnerabilidades. Muitas organizações, cerca de 65%, consideram que estes sistemas não estão preparados para atender às exigências de auditorias, enquanto 73% demonstram preocupação com multas e penalizações. Além disso, 59% afirmam que a abordagem isolada na gestão de vulnerabilidades gera ineficiências e aumenta os riscos de ataques cibernéticos.