Envolvimento da alta direção é essencial para a cibersegurança

Uma pesquisa recente da Trend Micro revelou que o envolvimento persistentemente baixo de executivos de TI e da alta direção (C-level) pode colocar em risco os investimentos e expor as empresas a riscos cibernéticos de maior severidade. Apesar da preocupação generalizada com as crescentes ameaças, o estudo mostrou que apenas 50% dos líderes de TI acreditam que o alto escalão entende completamente os riscos cibernéticos e que apenas um pouco mais da metade (57%) das equipes de TI estavam discutindo cibersegurança com a diretoria, pelo menos, semanalmente.

“Vulnerabilidades costumavam levar meses ou até anos antes de serem exploradas. Agora podem levar apenas horas ou menos. Mais executivos estão entendendo que precisam estar informados, mas muitas vezes se sentem sobrecarregados pela rapidez com que o cenário de cibersegurança evolui. É preciso que os líderes de TI se comuniquem com a alta direção das empresas de maneira que possam entender onde estão os riscos e gerenciá-los melhor”, comenta Eva Chen, CEO da Trend Micro.

A boa notícia é que os atuais investimentos em iniciativas cibernéticas não podem ser considerados criticamente baixos –  42% dos entrevistados afirmaram estar gastando em “ataques cibernéticos” para reduzir os riscos para os negócios mais do que outras áreas. No entanto, o baixo envolvimento da alta direção nas decisões sugere uma tendência de “apenas destinar dinheiro” para solucionar o problema, em vez de desenvolver uma compreensão dos desafios de cibersegurança cibernética e fazer investimentos adequadamente. Essa abordagem pode prejudicar a aplicação de estratégias mais eficazes e elevar os riscos de perdas financeiras. Menos da metade (46%) dos entrevistados afirmou que conceitos como “riscos cibernéticos” e “gestão de riscos cibernéticos” eram amplamente conhecidos pela organização.

Muitos afirmam que os diretores de alta hieraquia não se esforçam o suficiente (26%), não querem entender (20%) ou veem isso apenas como um problema tecnológico. Complexidade do tema (34%) e as constantes mudanças (34%) foram as principais razões citada para a falta de compreensão.

O pior é que 82% dos tomadores de decisão da área de TI se sentiram pressionados a minimizar a gravidade dos riscos cibernéticos para a diretoria. Quase um terceiro afirma essa pressão é constante.

Boa parte dos entrevistados (77%) desejaria que mais pessoas na organização fossem responsáveis ​​por gerenciar e mitigar esses riscos, contribuindo para impulsionar uma cultura de “segurança por design” por toda a empresa. O maior grupo de entrevistados (38%) é a favor de responsabilizar CEOs. Outras funções não relacionadas à TI citadas foram CFOs (28%) e CMOs (22%).

Melhores práticas de comunicação

Não é novidade alguma a existência de atritos de relacionamento entre as áreas de TI e de negócios. O problema é particularmente mais intenso quando se trata de segurança cibernética, pois é vista com entraves à inovação e à produtividade. O estudo da Trend Micro revela a escala do problema e faz algumas recomendações sobre como superar essas barreira e tentar desenvolver a cultura de segurança por design de que as organizações modernas precisam para incorporar medidas de cibersegurança formalizadas aos processos de negócios.

Depois de pesquisar mais de 5.300 tomadores de decisão das áreas de TI e negócios em nível mundial para melhor entender como os atritos entre os dois lados estão prejudicando os negócios. ficou claro que, para os diretores TI, a alta direção é ignorante e apática em relação aos riscos de cibersegurança. Há uma dinâmica que está até forçando os líderes de TI a se autocensurarem frente ao alto escalão por receio de parecerem muito negativos ou repetitivos.

Segundo a Trend Micro, o caminho para melhorar as relações passa pela necessidade da alta diretoria começar a considerar os riscos cibernéticos também como uma importante ameaça aos negócios. Infelizmente, a maioria dos entrevistados acredita que a única maneira dos altos diretores tomarem conhecimento dos riscos do ciberespaço é quando tiverem de enfrentar um grande incidente ou se os clientes passaram a exigir uma conduta proativa nesse campo.

A pesquisa destaca que o elemento-chave está na cibersegurança por design, princípio baseado em melhores práticas que exigem que o ciberespaço seja incorporado a tudo o que se faz nas organizações, desde o treinamento de equipes até o desenvolvimento de produtos e serviços. A ideia é que, modificando a percepção e o comportamento dos usuários e adaptando os processos de negócios, seja possível desenvolver uma cultura que valorize a cibersegurança em primeiro lugar e se autorreforce.

Como colocar isso em prática? A Trend Micro dá algumas dicas:
1) Formalize a cibersegurança via documentação, KPIs e métricas estabelecidas que ajudem na discussão de riscos cibernéticos para os negócios sobre.

2) Pense em criar a função de Business Information Security Officer (BISOs), que pode ajudar a incorporar a cibersegurança nos processos de negócios e também alinhá-las às demandas de negócios.

3) Reestruture as linhas de hierarquia para que o CISO passe a se reportar diretamente ao CEO. Isso vai ajudar a aproximar o CEO das funções de cibersegurança e, na outra direção, vai  ajudar a garantir mais informações sobre os negócios para os líderes de cibersegurança.

4) Implemente uma plataforma XDR (Extended Detection and Response) que correlacione e analise dados sobre ameaças a todo o ambiente de TI (endpoints, servidores, cargas de trabalho na nuvem, redes e serviços de e-mail) para assegurar visibilidade máxima dos níveis de ameaças e riscos.