Papel da liderança de cibersegurança precisa mudar

https://network-king.net/wp-content/uploads/2022/02/shutterstock_143280400-769x414.jpg

As lideranças de segurança cibernética estão esgotadas, sobrecarregadas e no modo “sempre ativo”. Ainda mais agora, com o mundo se preparando para uma guerra cibernética global enquanto a Rússia invade a Ucrânia.

Nas últimas semanas, a Ucrânia foi atingida por vários ataques cibernéticos visando seu governo e sistema bancário, e especialistas culparam a Rússia. A enxurrada de ataques levou a temores de um conflito digital mais amplo, com os governos ocidentais em alerta para ameaças cibernéticas da Rússia.

O grupo de hackers Anonymous declarou uma guerra cibernética contra a Rússia, e já reivindicou um ataque à rede de TV estatal “Russia Today”, enquanto as empresas de mídia social, sob pressão para encontrar políticas, correram para fazer declarações sobre como lidam com informações sobre a guerra.

A pressão sobre os profissionais de cibersegurança já vinha aumentando, devido ao crescente desalinhamento das expectativas das partes interessadas dentro de suas organizações. Como resultado, as lideranças de Segurança e Gerenciamento de Riscos (SRM) já vinham investindo significativamente na avaliação e influência da cibersaúde de terceiros. Os funcionários estão tomando mais decisões com implicações de risco cibernético e comitês executivos sendo estabelecidos fora do escopo do líder de segurança cibernética.

Pesquisa recente do Gartner revela que a responsabilidade pelo risco cibernético mudou para fora da TI. Um ecossistema cada vez mais distribuído vem levando a uma perda do controle direto da tomada de decisões. A consultoria prevê que metade dos executivos de nível C terá requisitos de desempenho relacionados ao risco de segurança cibernética incorporados em seus contratos de trabalho até 2026.

Isso afeta a pontualidade e a qualidade das decisões de risco das informações, que estão cada vez mais sendo tomadas por partes interessadas fora da linha de visão da TI ou da segurança. Em resposta, o Gartner espera ver uma mudança inevitável na prestação de contas formal às lideranças de negócios responsáveis ​​perante o CEO pela entrega de objetivos estratégicos, como receita e satisfação do cliente.

À medida que a responsabilidade formal pelo risco cibernético muda para os negócios, os analistas do Gartner recomendam a reformulação do papel das lideranças de segurança cibernética para que as empresas tenham sucesso em seus esforços de defesa.

“O papel de CISO deve evoluir de ser a pessoa responsável de fato pelo tratamento de riscos cibernéticos, para ser responsável por garantir que os líderes de negócios tenham as capacidades e o conhecimento necessários para tomar decisões informadas e de alta qualidade sobre riscos de informações”, explica Sam Olyaei, diretor de pesquisa da consultoria.

A cibersegurança será incluída nas divulgações ESG

O interesse dos investidores, a pressão pública, as demandas dos funcionários e as regulamentações governamentais estão fortalecendo os incentivos para que as organizações rastreiem e relatem metas e métricas de segurança cibernética dentro de seus esforços ambientais, sociais e de governança (ESG) como um requisito de negócios.

Como resultado, o Gartner prevê que 30% das grandes organizações terão metas ESG compartilhadas publicamente com foco em segurança cibernética até 2026, contra menos de 2% em 2021.

“As expectativas de que as organizações deveriam ser mais transparentes sobre seus riscos de segurança aumentaram, resultando na demanda pública por maior transparência em seus relatórios ESG”, afirma Claude Mandy, diretor de pesquisa do Gartner. “A cibersegurança não é mais apenas um risco para a organização, mas um risco social.”

A tradução será um grande desafio para as lideranças de cibersegurança: explicar a dinâmica de risco ao conselho e aos comitês operacionais em termos de colaboração e cooperação. Elas precisão mostrar com atitudes claras que não estão tentando parar o negócio, mas apoiar o aumento da confiança de seus consumidores, investidores e parceiros. A segurança deve ser um modelo de responsabilidade compartilhada, de propriedade de todos.

Não por acaso, a expansão das conversas estratégicas com as áreas de negócio, buscando alinhar os objetivos de negócios com as necessidades de segurança, encabeça as tendências em cibersegurança da KPMG para 2022.

É uma tarefa difícil, mas não impossível. A lideranças seniores começaram a entender que o gerenciamento do risco cibernético para obter vantagem competitiva e sucesso a longo prazo começa na diretoria e no C-suite. Descarregar a tomada de decisões estratégicas e o gerenciamento de risco, especialmente o risco inerente à digitalização, não é mais suficiente. As soluções de segurança modernas só podem realizar tanto em termos de redução de risco se os objetivos de negócios não incluírem uma estrutura de segurança robusta incorporada.

Olhando além das mudanças digitais criadas a partir da pandemia – ambientes de trabalho remotos e seguros, engajamento digital e atendimento ao cliente — esse mundo hiperconectado provavelmente enfrentará riscos cibernéticos em expansão em várias frentes globais. Os cibercriminosos estão usando ferramentas e tecnologias cada vez mais sofisticadas, ampliando o desafio que as organizações enfrentam para proteger e construir defesa e suporte cibernéticos personalizados.

A lideranças de Segurança e Gerenciamento de Riscos terão cada vez mais que demonstrar um compromisso organizacional para reduzir os problemas sociais que podem surgir de incidentes de segurança cibernética, como violações de dados de informações pessoais de clientes; potenciais preocupações de segurança do uso de sistemas ciber-físicos; potencial para uso indevido e abuso em seus produtos; e ciberatividade maliciosa contra infraestrutura crítica.

A guerra cibernética aumenta a pressão

O ambiente de negócios global de hoje é continuamente impactado por incertezas geopolíticas, ambientais, sociais e tecnológicas. O cenário de risco cibernético resultante é alimentado por um volume cada vez maior de dados confidenciais movendo-se através de redes interconectadas e integradas. 

Como deixa claro o Connectivity Wars, uma coletânea de ensaios publicados pelo Conselho Europeu de Relações Exteriores, a hiperconectividade do sistema global permite que os atores — sem recorrer à guerra aberta — causem graves danos em outros domínios geopolíticos, como a internet, sobre a qual nossas economias passaram a depender.

A dimensão cibernética do confronto sobre a Ucrânia, portanto, não deve ser subestimada.

A descoberta na Ucrânia nesta semana de um malware “limpador”, que exclui permanentemente dados em computadores infectados, acelerou a corrida das empresas para reforçar suas defesas, para que não se espalhe para outros países.

Um fator estratégico na guerra cibernética é a resiliência das empresas locais aos ataques cibernéticos. As empresas precisam reforçar suas medidas de segurança para reduzir os benefícios de um ataque a um estado-nação. A seguir, um conjunto de medidas para garantir a segurança cibernética corporativa, que pode promover a segurança nacional:

  • Crie obstáculos para violação de sua rede
  • Use firewalls de aplicativos da Web (WAF) para detectar, investigar e bloquear rapidamente o tráfego malicioso
  • Responda rapidamente a uma violação e restaure as operações de negócios
  • Facilitar a cooperação entre os setores público e privado

Algumas ações importantes para 2022

  1. Faça a transição do pensamento tradicional de segurança em torno da confidencialidade e disponibilidade de dados e comece a pensar em se esforçar para garantir integridade e resiliência
  2. Envolva as principais partes interessadas organizacionais para se comprometerem com uma estratégia de segurança que possa proteger dados organizacionais e de clientes, gerenciar riscos e ser sensível às prioridades de negócios de curto e longo prazo
  3. Reformule o pensamento na suíte executiva no que se refere à segurança, concentrando-se no risco corporativo prático, em vez de nas despesas e na velocidade
  4. Pense menos em indicadores-chave de desempenho (KPIs) operacionais e indicadores-chave de risco (KRIs) e concentre-se em temas e tendências nos dados subjacentes: tipos de incidentes, lacunas de programa internas e externas e atividades relacionadas a dados que estão em andamento, planejadas ou aguardando aprovação
  5. Construa relacionamentos com as principais áreas de negócios, aumentando a conscientização sobre a rapidez com que podem atingir os objetivos, incorporando a segurança versus o que podem perder em caso de violação
FacebookTwitterLinkedIn