Não é de hoje que os líderes de segurança questionam que os investimentos em cibersegurança são insuficientes e que não possuem voz dentro da companhia, pois bem, parece que o jogo está mudando.
Com a crescente escalada de ataques às companhias de diversos setores, principalmente por meio dos ransomwares (um tipo de malware de sequestro de dados) que tem se mostrado um modelo de negócios cada vez mais eficaz para os atacantes e um pesadelo para as empresas, o tema de segurança continua em alta discussão pelo board.
Os ataques não poupam segmentos, pequenos ou grandes negócios, bigtechs, hospitais, nada! Não importa o quanto você investe em segurança, o que se sabe é que em algum momento sua companhia poderá ser a próxima.
Isso tem tirado o sono dos executivos e aberto espaço para incluir o tema de segurança e cyber para o mais alto nível, ou seja, as empresas estão investindo mais.
Mas aqui fica uma pergunta aos gestores de segurança: estamos preparados para falar a linguagem do negócio e expor os riscos de maneira clara propondo as ações de mitigação necessárias?
Voltaremos a falar disso, mas antes, vamos analisar algumas informações importantes do relatório Global Cybersecurity Outlook do Fórum Econômico Mundial deste ano sobre essa aproximação do board com os líderes de segurança.
No geral, o relatório indica que os líderes de negócios estão mais conscientes sobre os riscos de segurança do que anos atrás. Eles também estão mais dispostos a abordar esses riscos, porém, os líderes de segurança continuam enfrentando dificuldade para tangibilizar claramente o que os riscos cibernéticos apresentam em suas organizações utilizando uma linguagem que as partes compreendam e possam tomar decisões.
Como resultado, chegar a um acordo sobre a melhor forma de mitigar esses riscos continua sendo um desafio para todos. Mas já existem grandes avanços, por exemplo: 56% dos líderes de segurança informaram que se reúnem, no mínimo, mensalmente com o conselho da empresa e que foram realizadas mudanças estruturais nas companhias para acomodar a discussão de risco cibernético e promover uma comunicação mais fluida e eficaz na gestão do risco.
Dos respondentes que se reúnem, ao menos, uma vez por mês com o board da companhia, 36% acreditam que a empresa está mais preparada para conter um ataque e somente 8% acreditam que a empresa não está preparada para responder a um incidente de segurança.
Uma comunicação mais frequente com o board da empresa é apenas mais um canal de informar e priorizar as decisões necessárias que impactam o negócio no que tange a segurança.
Na maioria dos casos, o líder de segurança possui um reporte ao diretor de tecnologia das empresas, o que, em alguns casos, pode causar um conflito de interesses, uma vez que as prioridades de segurança podem conflitar com prazos curtos de entrega, orçamento restrito, mais funcionalidades, etc; itens que podem colocar a segurança em segundo plano. Essas estruturas têm mudado em empresas que sofreram ataques cibernéticos priorizando a segurança na discussão com os executivos e conselho da empresa.
Por isso, algumas empresas têm adotado o modelo “Security First” em contrapartida com o modelo tradicional, evitando o conflito de interesse, com o report do CISO (chief information security officer) direto ao CEO ou board, atuando na mesma camada dos CIOs (chief information officer) ou acima, hierarquicamente.
Para melhorar essa comunicação entre as partes, são sugeridos alguns caminhos para o líder de segurança:
- Entenda como o negócio é sustentado e qual o impacto que um incidente de segurança pode causar financeiramente, operacionalmente ou econômico – sem termos técnicos;
- Alinhe os riscos de segurança com o negócio, identificando como evitar esses riscos pode apoiar nos objetivos do negócio.
Para os líderes de negócio, são sugeridos outros pontos:
- Incorporar o expertise de segurança no board decisório;
- Incentivar a resiliência cibernética no ambiente.
No relatório deste ano, 17% dos executivos de segurança expressaram preocupação com o nível de cibersegurança e resiliência em seus negócios. Por outro lado, o aumento do nível de consciência do risco cibernético entre executivos de negócios foi de 27%.
Isso pode ser devido a uma melhor compreensão pelos líderes empresariais sobre os danos que podem ser causados em suas operações de negócios relacionados por um grande ataque cibernético.
Líderes de segurança e líderes de negócio, às vezes, têm dificuldade em traduzir informações sobre riscos cibernéticos em ações mitigadoras em sua organização. A dificuldade em traduzir cyber ameaças em riscos operacionais é uma barreira entre os líderes de segurança e negócios.
Alguns termos, como “ransomware”, são fáceis de explicar, mas temas, como cybercrime e vetores de ameaça, são mais complexos. Além disso, no geral, os custos para mitigar uma brecha são dados em “estimativa” pelos líderes de segurança, o que, para o negócio, não é a melhor forma de endereçar seus riscos.
Outro fato relevante apontado pelos gestores de negócios é que 51% acreditam que cibersegurança é um diferencial e facilitador de negócios e 37% entendem que o custo de cibersegurança é algo inerente do negócio, porém somente 2% acreditam que cibersegurança é guiada por padrões de conformidade com leis e normas.
Esses números divergem até mesmo das respostas dos líderes de segurança, conforme podemos ver no gráfico abaixo:
A efetiva comunicação entre os líderes de segurança e de negócio é a chave para um programa de cyber resiliência efetivo. Esses especialistas devem usar menos jargões técnicos ao falar com a área de negócio e, por outro lado, os líderes de negócio devem apoiar os gestores de segurança a identificar os ativos e processos chave da companhia para priorização de proteção. O board deve ser diligente ao apoiar as iniciativas de segurança e fornecer os recursos necessários para proteção do ambiente.
Agora, voltamos à questão inicial: estamos preparados para falar a linguagem do negócio e expor os riscos de maneira clara, propondo as ações de mitigação necessárias?
Se quisermos participar das decisões da empresa e estivermos dispostos a justificar por A+B nossas propostas de redução de risco e melhoria do ambiente de segurança, teremos que mudar nosso mindset deixando de ser uma área que apenas gera custo para alguém que efetivamente contribui para alcançar os objetivos da empresa. Não é uma tarefa fácil, mas a oportunidade está aí. Quem quiser e souber navegar nesse mar, a hora é agora.